Un interprète pour cet hijackthis?

Résolu/Fermé
shikoku Messages postés 5 Date d'inscription samedi 17 janvier 2009 Statut Membre Dernière intervention 18 janvier 2009 - 18 janv. 2009 à 11:48
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 25 avril 2009 à 03:54
Bonjour,

Mon ordi est d'apparence saine, aussi j'aimerais savoir si il n'y traîne pas une quelconque anomalie. Si quelqu'un peut me l'interpréter, ça me ferait plaisir

Merci

Jean claude

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:04, on 16/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\FreezeScreenSaver.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Jean Claude\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lci.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

54 réponses

anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
23 janv. 2009 à 02:27
Alors les explications de ce que je t'ai fait faire :

• Hijackthis et RSIT sont des logiciels de diagnostic, qui m'ont permis de voir que ton ordinateur était infecté et d'identifier l'infection.

• MalwareBytes est un anti-malware généraliste performant, qui supprime toute sorte d'infection.
Je te l'ai fait utiliser pour voir s'il détectait FreezeScreenSaver (il ne l'a pas fait), mais il a détecté et supprimé en partie 2 autres infections.

• Navilog a servi a supprimer l'infection navipromo, supprimée en partie seulement par MalwareBytes.

• OTMoveIt est un programme qui sert à supprimer les fichiers ou les clés du registre qu'on lui demande de supprimer. Je te l'ai proposé pour supprimer FreezeScreenSaver, ce qu'il a fait ;)

• Enfin, la manipulation dans services.msc a permis d'arrêter le service correspondant à ce fichier, qui aurait continué d'essayer de se lancer après la disparition du fichier.



Tu as raison de t'intéresser à tout ça, mais si tu dois proposer ton aide à ton entourage, je te conseille d'être prudent, et de ne pas hésiter à poser tes questions ici.
En effet, certains programmes que nous avons utilisé sont dangereux (OTMoveIt pour lequel il faut écrire un script... qui peut supprimer des fichiers importants s'il est mal fait / hijackthis qui peut empêcher le fonctionnement de l'ordinateur si des lignes légitimes sont fixées à tord), d'autres ne doivent s'utiliser que dans des cas particulier (navilog ne supprime que l'infection navipromo, qu'il faut reconnaitre dans le rapport hiackthis... etc)



Pour finir, j'aurai besoin d'un nouveau rapport hijackthis pour te donner les conseils de sécurité tant attendus ;)

2
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
19 janv. 2009 à 08:13
Bonjour,



"Mon ordi est d'apparence saine"

==> Alors il l'est seulement en apparence, puisque le rapport montre la présence de freezscreensaver.exe, qui est apparemment un adware...


• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici

2
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
21 janv. 2009 à 19:28
Parfait, l'infection navipromo semble avoir été supprimée, on va vérifier avec RSIT (qui propose un rapport un peu plus complet que hijackthis)


• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaitre. Poste le contenu de log.txt

2
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
19 janv. 2009 à 18:57
Bonjour Anthony

Tout d'abord merci pour tes explications simples et compréhensibles sur la démarche à suivre. Ne connaissant pas tous les rouages de l'informatique, c'est appréciable.
Aussi voici le rapport de MBAM.
Comme tu me l'as conseillé, j'ai "supprimé" la sélection. Cependant, me diras-tu si les objets infectés sont toujours dans mon ordi? Si je dois faire des suppressions manuelles, peux-tu me diriger? Si ces infections sont gravissimes ou sans conséquence etc...
Et aussi me dire à quel rythme je dois scanner, (à la semaine? au mois?). Pour info, je pense que "screensaver" s'est introduit lorsque j'ai téléchargé des écrans de veille (au conditionnel).
Auras-tu la patience de me dire si je dois oeuvrer une nouvelle fois pour faire d'autres analyses? Je ne connaissais pas MBAM, un bien bel interface.

Merci

Jean claude

"""""""""""""""""""""""


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1668
Windows 5.1.2600 Service Pack 3

19/01/2009 18:43:42
mbam-log-2009-01-19 (18-43-42).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 115629
Temps écoulé: 33 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d49e9d35-254c-4c6a-9d17-95018d228ff5} (Adware.Starware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webmediaplayer (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\WebMediaPlayer (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\jdacqtpd_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\jdacqtpd_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\jdacqtpd.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\uninst.exe (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
20 janv. 2009 à 20:13
Pas de problème, je vais t'aider jusqu'au bout, si tu as la patience de revenir à chaque fois (je dis ça parce que les 3/4 des internautes disparaissent ne reviennent pas jusqu'au bout...)

Tu avais le logiciel "WebMediaPlayer", qui est connu pour installer l'infection navilog, qui affiche des fenêtres de publicité. Je te propose de t'en débarrasser :


Télécharge maintenant Navilog1 (de IL-MAFIOSO) depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

• Enregistrer la cible (du lien) sous... et enregistre-le sur ton Bureau.
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
• Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le Bureau

• Au menu principal, choisis "désinfection manuelle par saisie nom adware" (option 4)
• Tape ceci :
jdacqtpd 

• Laisse toi guider et patiente.
• Patiente jusqu'au message : "Analyse Termine le..."
• Appuie sur une touche, le bloc note va s'ouvrir.
• Copie-colle l'intégralité du rapport ici.

0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
21 janv. 2009 à 11:51
Anthony. Un passage rapide pour confirmer en fait que s'ouvraient des fenêtres de pub à chaque ouverture d'un lien de google ou autre. Je n'en voyais que peu en fait tout simplement parce que IE 7 les bloquait. Et il m'en informait par un message en haut de page : """"IE7 a bloqué les fichiers provenant de ce site""". Et d'ajouter que présentement, à chaque passage sur une page web, je n'ai plus ce message, donc bravo et merci.
0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
21 janv. 2009 à 11:08
Bjr Anthony

Un plaisir que suivre tes conseils. J'avoue que lorsque je me suis retrouvé (après avoir ouvert Navilog) dans cet écran bleu m'informant des risques de défaillances éventuelles, j'ai pris un peu peur. Et puis je suis partie sur la confiance (sourire))))). Je pensais "webmediaplayer supprimé après le scann effectué avec MBAM qui me disait ceci :

""
C:\Program Files\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\uninst.exe (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
""

Il est vrai que je recevais (pas trop) des fenêtres de pub. Aussi sache que j'aurai la patience de continuer à suivre tes directives Anthony car j'aime assez aller voir (avec fort peu de connaissance) dans le système (BDR par exemple). A chaque fois que je désinstalle quelque chose, je le fais aussi manuellement dans la BDR. Avec prudence bien sûr.

Aussi pour t'éviter un maximum d'explications, sache que pour installer et désinstaller des logiciels, les retrouver dans l'explorateur et les désinstaller je sais faire. Je suis toujours dans l'explorateur, je connais assez bien son fonctionnement je pense. Bref après tous ces bavardages, voici le rapport de Navilog.
Et sois remercié pour ton aide précieuse.
Pour info, je réside sur Annecy et aujourd'hui grisaille en plaine.

Jean claude

PS : Dois-je de temps en temps lancer Navilog, ou bien je n'y touche plus et je le mets de côté?


""""""""""""""""""""""""""""""""

Clean Navipromo version 3.7.1 commencé le 21/01/2009 à 10:43:37.75

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Jean Claude"

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3200+ )
BIOS : Award Modular BIOS v6.00PG
USER : Jean Claude ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1296 [VPS 090120-0] 4.8.1296 (Activated)


C:\ (Local Disk) - NTFS - Total:232 Go (Free:213 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)



Mode suppression par méthode manuelle

Nom du fichier saisi : jdacqtpd

Nettoyage exécuté au redémarrage de l'ordinateur

*** Recherche, création sauvegardes et suppression ***

* Suppression dans "C:\WINDOWS\system32" *


* Suppression dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\locals~1\menudm~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\locals~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\menudm~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Jean Claude\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 21/01/2009 à 10:48:36.93 ***
0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
21 janv. 2009 à 20:50
Bonsoir Anthony.

A vrai dire ce n'est pas déplaisant toutes ces manip'.
Si ton temps n'est pas trop compté, tu peux me faire faire toutes les vérifications possibles, je suis partant.

Aussi, dis moi si mon antivirus (avast) + spyware terminator + MBAM + ad-aware c'est suffisant comme protection. A quel rythme je dois effectuer ces scannes. Et me donner ton avis sur Avast, sachant qu'il est intéressant par sa gratuité bien sûr. Mais aussi qu'à chaque visite sur un site, je prends le risque à nouveau d'être infecté par les éléments que tu m'as fait supprimer? Saurais tu me dire si il y a des sites plus à risque que d'autres?

Voici bien des questions posées

Merci

JC



"""""""""""""""""

Logfile of random's system information tool 1.05 (written by random/random)
Run by Jean Claude at 2009-01-21 20:44:47
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 219 GB (92%) free of 238 GB
Total RAM: 959 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:53, on 21/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\FreezeScreenSaver.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jean Claude\Local Settings\Marie bis\Fichiers reçus\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Jean Claude.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lci.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
22 janv. 2009 à 05:31
Tant mieux si tu aimes ça, parce qu'on n'a pas tout à fait terminé ;)

Il reste une manip' à faire, et ensuite je te donnerai les conseils habituels de sécurité et de prévention, qui répondront à toutes tes questions :)


• Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe
• Double-clique sur OTMoveIt3.exe afin de le lancer.
• Copie/colle le texte suivant dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit :
:processes 
explorer.exe 

:files 
C:\WINDOWS\system32\FreezeScreenSaver.exe

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 


• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

• Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles
Le nom du rapport correspond au moment de sa création : date_heure.log



Fais ensuite ceci pour arrêter le service correspondant :

• Menu démarrer --> exécuter --> tape services.msc

• Fais un clic-droit sur "FreezeScreenSaver" --> Propriétés

• Clique sur arrêter et place "type de démarrage" sur Désactivé.

0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
22 janv. 2009 à 13:00
Bjr Anthony

J'ai rencontré un problème à partir du menu "exécuter". Windows a refusé de m'ouvrir "msc". Alors j'y suis allé de mes petites bidouilles et j'ai fait une recherche de "msc". Et j'ai ainsi trouvé l'application qui correspnd à "msc" à savoir "services.msc". Je me suis déjà promené par là (sourire))))))). Et ensuite j'ai appliqué tes directives concernant "FreezeScreenSaver".
Pour info et tu ne l'ignores pas. C'est en visitant et téléchargeant récemment des écrans de veille que j'ai remarqué "FreezeScreensaver".
Bien pris pour ce qui concerne tes conseils utltérieurs sur la sécurtié et autres.
J'émettrais une petite requête Anthony, c'est que (pour mon instruction personnelle) tu me dises à quoi correspond les manip's que tu me fais faire, et la raison de suppression de fichiers (leur côté néfaste voir dangereux). Et aussi, l'utilité de chaque logiciel que tu me fais télécharger )))). Ainsi, je peux ensuite peut-être aider quelqu'un dans mon entourage.

Merci pour ton aide précieuse et ta compétence

JC



""""""""""""""""""

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\system32\FreezeScreenSaver.exe moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_118.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5f0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01222009_123329

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_118.dat not found!
File C:\WINDOWS\temp\Perflib_Perfdata_5f0.dat not found!
0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
23 janv. 2009 à 09:16
Bjr Anthony

Je constate après tes explications qu'il ne faut pas que je tente les manip's que tu m'as recommandé. Effectivement trop hasardeux. Par exemple, pour le code Navilog il est peut-être différent à chaque scan' et différent sur d'autre ordis.
Pour mes demandes sur la sécurité ou autres, je précise qu'elles sont multiples. Elles donneront sur la quantité de logiciels sécurité, sur internet, sur la BDR, et d'autres questions que je n'ai pas en tête présentement. Aussi, je peux avoir une question à poser lorsqu'elle me vient, dans une semaine, dans un mois, etc... Dois-je continuer à afficher mes post ici?
Dis moi Anthony, c'est la première fois que j'échange ainsi sur un forum. Y a t'il des règles à respecter? Je veux dire par là, est-ce que je peux me permettre de rédiger comme je le fais présentement? Quelques jours plus tôt, je me suis permis de dire que je résidais sur annecy. Est-ce permis?

Merci

JC


"""""""""""""""""""""""""

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:59:03, on 23/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cidaemon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lci.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
24 janv. 2009 à 09:28
Pour être clair, je précise que lorsque je t'ai averti des risques, je ne voulais surtout pas te décourager à t'intéresser à la sécurité informatique, ni faire croire que c'est quelque chose de très complexe et passer pour un "expert" (je ne connaissais rien à ce domaine il y a un an, et on n'a jamais fini d'apprendre des choses dans ce domaine).
Simplement d'être vigilant, et de ne pas tenter de manip' hasardeuses ;)


Tu peux poster ce que tu veux ici, du moment que tu respectes la charte du forum (il y a un lien en haut de la page vers cette charte).
Tu peux dire ce que tu veux pour sur ta vie privée, c'est à toi de voir ;) Mais rappelle toi que tout le monde peut lire ce que tu écris ici, et évite juste de donner des infos telles que ton adresse e-mail, qui pourraient être récupérées par des robots pour t'envoyer de la publicité.


Concernant tes questions, tu peux les poster dans ce sujet si elles concernent le domaine de la sécurité, et tu peux revenir dans un an pour en poster une nouvelle si tu le souhaites ;)
Pour le reste, il est préférable que tu les postes dans la partie correspondante du forum (si tu n'obtient pas de réponse, tu peux aussi me contacter par message privé, j'essayerai, dans la mesure du possible, de répondre).


Je vais regarder ton dernier rapport et te donner les conseils de fin de désinfection dans un prochain message ;)
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
24 janv. 2009 à 10:14
[suite]


Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

• Anti-virus :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, télécharge le ici.

• Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows ?) : si tu le souhaites, tu peux en télécharger un vrai, plus efficace. Parmi les gratuits, celui qui me paraît le plus simple est PC Tools Firewall. Tu peux t'aider du tuto suivant pour l'utiliser : Tutoriel PcTools

Note : si un message comme celui-ci apparaît lors de l'installation, clique sur Continuer.

• Anti-spyware :
* Ad-Aware est un logiciel inutile : il ne te protège pas, puisque la version gratuite ne permet que des scans à la demande, et ces scans sont inefficaces (ils sont justes bon à supprimer des cookies...) Malgré cela, Ad-Aware consomme en permanence de la mémoire ! Je te conseille vivement de le désinstaller !
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox 3 avec deux extensions :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

• Fais un clic droit sur poste de travail (qui est sur ton Bureau ou dans le menu démarrer), puis propriétés.
• Sélectionne l'onglet restauration du système
• Coche l'option Désactiver la restauration du système sur tous les lecteurs
• Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.



6) Je t'invite à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



7) Enfin, je t'invite à cliquer ici pour déposer un témoignage sur MalwareComplaints, dans le but de faire réagir les autorités face aux infections virales (ça prend 5 minutes).
Le lien que je t'ai donné pointe directement sur la partie consacrée à l'infection infection navipromo (qui était responsable de l'affichage des publicités).





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
24 janv. 2009 à 17:48
Bjr Anthony

Désinstallation d'avast et installation d'anti vir ; ok

Concernant PC tolls, téléchargement ; ok mais ouverture impossible. Après avoir cliqué sur "ouvrir", j'attends plusieurs minutes pour recevoir à l'écran un petit message me disant ceci : - erreur (0x6b5) lors de l'envoi d'un message à l'application CPCToolsFirewallPlus -. Dans l'attente (non urgente) d'aide qui puisse me faire installer PC Tolls, j'ai remis le pare feu windows.

Désinstallation de Ad-Aware ; ok.
Désinstallation de Spyware terminator ; ok

Installation de Spyware Blaster ; ok
Nouveau scan Hijackthis effectué puis suppression des lignes inscrites.

J'ai téléchargé Firefox 3, et après un rapide aperçu, il me semble moins pratique que IE 7. Mais bon je vais travailler dessus, possible que ça ne soit qu'une impression dû à la nouveauté.

L'opération ToolsCleaner a été réalisée

Quant à CCleaner j'aimerais (avant de lancer l'opération, que tu me dises précisément quelles coches doivent être cochées ou non cochées dans l'onglet "avancé" (hormis la décoche "Effacer uniquement les fichiers, du dossier temp de windows, plus vieux de 48h00"). Cette question parce que après avoir "lancer le nettoyage", j'ai remarqué quantité de MAJ de windows. Aussi dois-je peut-être comprendre que ne seront supprimés que les fichiers anciens?
Et puis lorsque je clique sur l'onglet "Nettoyeur", tout est coché, est-ce normal? Il faut dire que la liste à supprimer est impressionnante, d'où cette confirmation (sourire)))))). Taille totale des fichiers (31.2MB).

Concernant la restauration je n'ai pas pris soin de te lire voici pourquoi. Lorsque j'ai fait monter mon PC (entre un an ou deux, je ne sais plus exactement. J'ai fait remettre mon XP de mon ancien ordi (ne voulant pas de vista). Hors le monteur m'a dit, qu'en revanche je ne pouvais plus faire de restauration. Je ne me suis pas posé de question sur ce sujet. Alors tu me diras probablement si c'est une vérité. Si il y a problème à ne pas pouvoir faire un nouveau point de restauration. Et quel problème je peux rencontrer à ne plus pouvoir faire de restauration.

Et puis une question qui me vient : Pourquoi existe t'il dans tout anti-virus cette case qu'est la quarantaine? Pourquoi ne supprime t'on pas purement et simplement un fichier infecté?

Si tu as plusieurs correspondants aussi curieux que moi, tu ne dois pas dormir beaucoup )))))).

Merci

JC

PS : Ecrire sur ta boite privée c'est cliquer sur "Répondre à Anthony" qui se trouve en bas à gauche des messages, et non sur le gros bouton bleu en bas à droite des messages?
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
25 janv. 2009 à 08:35
"J'ai téléchargé Firefox 3, et après un rapide aperçu, il me semble moins pratique que IE 7"

==> Qu'est-ce qui te semble moins pratique ?


Pour CCleaner, tu peux cocher également "vieilles données du prefetch" et lancer le nettoyage.
Ce que tu as vu dans la liste correspond à des sauvegardes avant les mises à jour : si tu n'as pas de problème avec ton ordinateur, tu peux les supprimer sans problème.
Si c'est la première fois que tu utilises CCleaner, c'est normal qu'il trouve beaucoup de fichiers à supprimer ;)


Je ne comprends pas pourquoi tu n'as pas accès à la restauration du système... as-tu essayé ?
Attention, je précise à nouveau que je ne voulais pas que tu restaures ton ordinateur, ni que tu fasses un nouveau point de restauration : ce que je voulais, c'est que tu la désactives pour supprimer les archives des fichiers infectés (et la réactiver ensuite).


La présence de Quarantaine est très importante, et il ne faut jamais choisir "Supprimer" directement !
En cas d'erreur, de "faux-positif" (ça arrive assez souvent...) tu seras bien content de retrouver le fichier à restaurer dans la quarantaine quand tu t'apercevras que certaines choses ne fonctionnent plus.


Le bouton "Répondre à Anthony" permet de placer ton message en dessous du mien.
Pour m'envoyer un message privé, il faut cliquer sur mon pseudo qui se trouve au dessus de chacun de mes messages ;)


"Si tu as plusieurs correspondants aussi curieux que moi, tu ne dois pas dormir beaucoup"
==> Ne t'inquiète pas pour ça, mes nuits sont souvent mauvaises de toute façon ;)
Et si je suis ici, c'est parce que j'aime répondre aux questions et rendre service, donc pose toutes les questions que tu veux :)
0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
25 janv. 2009 à 22:59
Anthony

Dans "ajout suppresion de programmes" , j'aimerais que tu me dises à quoi correspond ces éléments et si je peux supprimer ou pas

""Microsoft. NET Framework 2.0 Service Pack.1""
""Microsoft. NET Framework 2.0 Service Pack 1 Language Pack. FRA""

""Microsoft. NET Framework 3.0 Service Pack 1""
""Microsoft. NET Framework 3.0 Service Pack 1 Language Pack . FRA""

""Microsoft. NET Framework 3.5""</souligne>

Je remarque aussi plusieurs logiciels "Java". Des MAJ java j'imagine

""(TM) Update 11""
""(TM) Update 5""
""(TM) Update 7""

Suis-je tenu à les garder toute?

Merci

JC
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
26 janv. 2009 à 14:40
La dernière version de Java est la version 6 Update 11
Il faut que tu désinstalles toutes les autres.


Microsoft. NET Framework est une plateforme qui est nécessaire pour faire fonctionner d'autres logiciels, garde le.



@+
0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
26 janv. 2009 à 18:48
Anthony, tu n'as pas dû remarquer ma question concernant l'installation impossible de PC Tools. Pourrais tu me dire si tu une idée sur ce problème? Le téléchargement se fait, mais impossible à exécuter. L'exécution me renvoi à ce message : ""erreur (0x6b5) lors de l'envoi d'un message à l'application CPCToolsFirewallPlus"".
Si tu ne trouves pas, que me conseilles-tu d'autre? ZA peut-être?
Réponse non urgente

Merci

JC
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
27 janv. 2009 à 07:16
Excuse-moi, j'ai répondu un peu vite en oubliant cette question.

J'ai fait quelques recherches, les quelques cas similaires que j'ai lu ont amené les internautes victimes de ce problème à changer de pare-feu :(
Il y a un problème similaire sur le forum de PCTools, ils y travaillent, je te propose d'attendre de voir ce qu'il en ressort.


Petite question : est-ce que tu es connecté depuis une box ? (neufbox, livebox, freebox...)
0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111 > anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015
27 janv. 2009 à 11:38
Anthony

Suite à mon précédent post concernant la venue de ces pages de pub, je viens de faire un scan avec Malwarebytes. Et je constate que je suis encore infecté par "navipromo". Puis-je faire ces suppressions manuellement? Je sais comment aller dans ces dossiers. Et puis une fois le scann terminé, doi je ""supprimer la sélection""?
J'espère que tu t'y retrouves dans toutes ces questions
Comment interdire l'accès de ce site?
voici le rapport de MBAL.

Merci

JC

""""""""""""""""""""

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1668
Windows 5.1.2600 Service Pack 3

27/01/2009 11:26:19
mbam-log-2009-01-27 (11-26-10).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 110386
Temps écoulé: 28 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\difjf (Adware.Navipromo.H) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\difjf_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\difjf_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\difjf.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\difjf.exe (Adware.Navipromo.H) -> No action taken.
0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
27 janv. 2009 à 10:01
Bjr Anthony.

Ne t'excuse pas pour si peu.
Ok pour PC Tolls.

Je dispose d'un modem simple ""Netgear DG834G"". J'avance timidement sur l'évolution des modems car j'ai eu connaissance de problèmes rencontrés par ces modems qui te permettent l'accès à la télé, au temps illimité du tél fixe etc... C'est la raison pour laquelle je n'ai que ce modem de base. Je retiendrai les renseignements que tu m'adresseras concernant ces modems.

Dis moi Anthony, depuis hier, j'ai très souvent des pages de pub qui me sautent au visage ; est-ce un paramétrage à effectuer sur SpywareBlaster"? Sachant que j'utilise Firefox et que j'ai encore IE7.
Et comment procéder pour faire une analyse avec SpywareBlaster sachant que l'anglais et moi ça fait 2.
A ce sujet puis-je supprimer IE7? sachant que jusqu'à hier, les mails msn ne s'ouvraient qu'avec IE et non avec Firefox. J'ai lu sur un forum qu'il fallait installer ""SP3.5.590.exe" pour que ces mails soient redirigés sur Firefox. J'ai procédé ainsi et ça fonctionne. Donc puis-je supprimer IE7?
En attendant tes réponses, je me penche sur le paramètrage de Firefox pour peut-être comprendre le pourquoi de ces pubs indésirables.

Merci

JC
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
27 janv. 2009 à 14:35
Bon, je vais commencer par répondre à l'urgence du moment (les pubs).
Ne lance pas la suppression avec MalwareBytes, on va réutiliser navilog qui est spécialisé sur cette infection :


Télécharge maintenant Navilog1 (de IL-MAFIOSO) depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

• Enregistrer la cible (du lien) sous... et enregistre-le sur ton Bureau.
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
• Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le Bureau

• Au menu principal, Fais le choix 1
• Laisse toi guider et patiente.
• Patiente jusqu'au message : "Analyse Termine le..."
• Appuie sur une touche, le bloc note va s'ouvrir.
• Copie-colle l'intégralité du rapport ici.



Est-ce que tu as téléchargé/installé un programme hier ?
Y a t il d'autres personnes qui ont utilisé cet ordinateur ?
Est-ce que tu as bien installé WOT, l'extension que je t'ai conseillé pour Firefox ?

0
Mots croisés Messages postés 3075 Date d'inscription dimanche 22 mai 2005 Statut Membre Dernière intervention 10 septembre 2024 111
27 janv. 2009 à 17:57
1) Aucun programme téléchargé
2) Je suis seul à utiliser cet ordinateur
3 ) WOT est bien installé sur firefox (bien agréable que cette option).

Peut-on stopper la venue de "navipromo"?

En fait avec IE7, j'avais autant de pub's mais je je ne les voyais pas car IE7 les bloquait à chaque fois, il m'en informait par un message en haut de page.

Pour les questions posées antérieurement, je ne les poserai plus, tu sauras y revenir lorsque tu l'estimeras possible.

Merci

JC


"""""""""""""""""""

Search Navipromo version 3.7.1 commencé le 27/01/2009 à 17:44:23.60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3200+ )
BIOS : Award Modular BIOS v6.00PG
USER : Jean Claude ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)


C:\ (Local Disk) - NTFS - Total:232 Go (Free:213 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\locals~1\menudm~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\locals~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Jean Claude\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\menudm~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"difjf"="\"c:\\documents and settings\\jean claude\\local settings\\application data\\difjf.exe\" difjf"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" :

difjf.exe trouvé !
difjf.dat trouvé !
difjf_nav.dat trouvé !
difjf_navps.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 27/01/2009 à 17:52:59.82 ***
0