Win32:Spyware-gen [Trj] aider moi vite

Question

Bonjour,
j'ai un gros probleme mon anitivirus avast n'arrive pas a supprimer ou meme metre en en quarantaine ce fichier .Win32:Spyware-gen [Trj] que dois je faire pour l'eliminer efficacement 
j'ai l'impression que mon pc ralentis a vu d'oeil

Tman74 · Answer

Salut, tu as quel antivirus ?

chaita · Answer

bonjour 


Télécharge et installe le logiciel HijackThis :

ici http://static.commentcamarche.net/www.commentcamarche.net/do­wnload/fichiers/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall­.exe
ou ici http://www.clubic.com/lancer-le-telechargement-51452-0-hijac­kthis.html

> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

> !! Déconnecte toi et ferme toutes tes applications en cours !!

Clique sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

---> Poste le rapport généré pour analyse ...

patricky · Answer

j'ai avast

chaita · Answer

deja avast est un tres mauvais anivirus on s'en occupera apres pour l'instant fait cette premiere manip

chaita · Answer

desoler le lien hijackys marche prend celui la  HijackThis

patricky · Answer

voila le rapport
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:17, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\LVComS.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\LimeWire\LimeWire.exe
C:\WINDOWS\system32egsvr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.953\self_extracting_archive.exe
C:\Program Files\Fighters\configservice.exe
C:\Program Files\Fighters\licenseservice.exe
C:\Program Files\Fighters\ScannerService.exe
C:\Program Files\Fighters\updateservice.exe
C:\Program Files\Fighters\Spywarefighter\SpywarefighterUser.exe
c:\program files\fighters\spywarefighter\SPYWAREfighterTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

chaita · Answer

ok  y a des infection!!

dans un premier tant fait ceci :



2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

patricky · Answer

ok bah faut attendre encore

patricky · Answer

voila 

   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Propriétaire ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1229 [VPS 090123-0] 4.8.1229 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:27 Go (Free:2 Go)
   D:\ (Local Disk) - NTFS - Total:76 Go (Free:3 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   H:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 24/01/2009|12:47 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="http://lo.st#home"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911
   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911\AssassinsCreed_Dx9.exe
   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911\PunkBuster.lnk
   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911zr-cd4f
   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911zr-cd4f.001
   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911zr-cd4f.sfv
   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911zr-cod4.nfo
   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911zr-cd4f\iw3sp.exe
   C:\DOCUME~1\PROPRI~1\Bureau\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911zr-cd4fzr-cod4.exe
   C:\DOCUME~1\PROPRI~1\Bureau\Disque amovible (G)\gp5\Keygen.exe
   C:\DOCUME~1\PROPRI~1\Local Settings\Temp\Rar$EX00.859\Crack.exe
   C:\DOCUME~1\PROPRI~1\Local Settings\Temp\Rar$EX04.281\Crack.exe
   C:\DOCUME~1\PROPRI~1\Local Settings\Temp\Rar$EX04.609\Crack.exe
   C:\DOCUME~1\PROPRI~1\Local Settings\Temp\Rar$EX07.391\Crack.exe
   C:\DOCUME~1\PROPRI~1\Local Settings\Temp\Rar$EX07.859\Crack.exe
   C:\DOCUME~1\PROPRI~1\Recent\Bioshock 2007 PC GAME MULTILANG FR-DEU-ENG-SPA-ITA Crack Inclus Verif Steph OK.lnk



   1 - "C:\ToolBar SD\TB_1.txt" - 24/01/2009|12:44 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 24/01/2009|12:46 - Option : [1]
   3 - "C:\ToolBar SD\TB_3.txt" - 24/01/2009|12:48 - Option : [2]

   -----------\  Fin du rapport a 12:48:21,65

patricky · Answer

il se passe quoi la?

patricky · Answer

il va s'en sortir sans formatage?

chaita · Answer

oui on va s'en sortir sans formatage



bien ...

on continue :


1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/ 168 ccleaner
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.


Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

=======================

2- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

patricky · Answer

desole pour ma lenteur j'etais partis manger je m'y remet

chaita · Answer

pas de souci faut bien manger moi je risquerait de m'absenter un peut dans l'apre midi

patricky · Answer

voilale rapport
SmitFraudFix v2.391

Rapport fait à 13:57:44,65, 24/01/2009
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\LVComS.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\LimeWire\LimeWire.exe
C:\Program Files\Fighters\configservice.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Fighters\updateservice.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\System32\dskquota32.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.0.1

Description: FreeBox USB Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4126400E-92CC-4D30-A7DB-28382EFAD1BA}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDB16165-57C8-41B7-9AEE-B7BF76ECAEDF}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4126400E-92CC-4D30-A7DB-28382EFAD1BA}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDB16165-57C8-41B7-9AEE-B7BF76ECAEDF}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4126400E-92CC-4D30-A7DB-28382EFAD1BA}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CDB16165-57C8-41B7-9AEE-B7BF76ECAEDF}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

patricky · Answer

je comprend pas j'arrivais pas a le poster alors je me le suis envoyé par email pour le poster sur un autre ordi

chaita · Answer

ok

Suite de la manipe ( nettoyage ), fais exactement ce qui suit :

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

* Double-clique sur SmitfraudFix.exe

* Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

--> Si besion :

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

( Le correctif déterminera si le fichier wininet.dll est infecté.)

* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.

* Un redémarrage sera demandé pour terminer la procédure de nettoyage .
Si le redémarrage ne se fais pas , fais le manuellement ( c'est important ! ) .

Le rapport se trouve à la racine de disque dur C .
( dans le fichier C:\rapport.txt )

Poste moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport
hijackthis ( fais en mode normal ) et attends les instructions ...

patricky · Answer

ok pas de soucis je suis sur deux ordi

patricky · Answer

la il est en train de nettoyer mon disque c c'est bien sa

patricky · Answer

je l'ai redemarré et il est en train de verifier le disque c

chaita · Answer

oui ensuite poste les rapport pour analyse

patricky · Answer

j'ai du je restart

patricky · Answer

y'a un probleme la j'ai demarrer en sans echec apres j'ai lancer smithfraud apres j'ai dis oui la premiere fois mais pas la deuxieme j'ai redemarer le pc il ma fais une verification du disque c et la mon fond decra est bleu et je crois que j'ai pas internet

patricky · Answer

je fais quoi?

patricky · Answer

j'ai hate que tu revienne car la je suis completement queblo

chaita · Answer

la suite dans l'ordre :


1- Télécharge UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/U­sbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés, ainsi que les CD et DVD rom dont tu te sers éventuellement le plus souvent ( mais sans les ouvrir ! ) .


--> Double-clique sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil :

* Tape sur 1 ( option " nettoyage " ) puis sur [entrée] et suis les instructions ...

--> Le pc va redémarrer ... laisse travailler l'outil et ne touche à rien ...
( Note : pour les unités externes non utlisées, clique sur "continuer" lors du message d'avertissement )


--> Une fois de retour à ton bureau , attends le message de fin du nettoyage ,
puis appuie sur une touche pour que le rapport "UsbFix.txt" s'affiche .

Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valides .


==================================================

2- Télécharge MalwareByte's :
ici https://www.commentcamarche.net/telecharger/ 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport hijackthis pour analyse ...

patricky · Answer

oui mais la je suis queblo je peux plus rien faire

patricky · Answer

quand je demarre le pc le fond decran est absent et les chargement ne se finisse pas

chaita · Answer

est que tu as essayer de le demarer en mode sans echec?

patricky · Answer

bah j'y arrive plus j'ai beau appuyer sur f8 au demarrage il demarre de la meme maniere

patricky · Answer

sa a fais sa juste apres que j'ai redemarrer apres l'etapeen mode sans echec

chaita · Answer

il y a quoi de marque sur cet ecran bleu??

patricky · Answer

sa y'est j'ai reussi je vien de comprendr ec'est parce que je possede plusieur systeme d'exploitaton fallais que je le demarre apres le chargement bios

patricky · Answer

je suis en mode sans echec le je dois recommencer la demarche de tout a l'heure?

chaita · Answer

ok on continu reprend au topic 18 il me fau ses deux rapport....sa me semblait bizzar cet ecran bleu

patricky · Answer

j'ai trop d'icon je le vois pas je peux prendre celui qui est dans le dossier c'est le meme ?

chaita · Answer

oui

patricky · Answer

sa fais exactement pareil que la derniere fois il ma pas posée la deuxieme question et il ma sortit le rapport avant d'avoir finis le nettoyage du disque

chaita · Answer

pas grave post moi se rapport stp

patricky · Answer

oui mais si sa fais pareil que la derniere fois je vais pas pouvoir me connecter et te l'envoyer a moin que tu veux que je le retape a la main ^^

patricky · Answer

sa fais pareil le fond d'ecran est pas remis et je lag a mort des que je fais 3metres

patricky · Answer

il m'a pas posée cette question quand j'ai nettoyé 
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.  

et aussi quand je demande a nettoyé il me rapelle que je suis en mode sans echec et si je veux le quitter

patricky · Answer

et je sais pas si s'est important mais quand je redemarre en mode sans echec il me fais une demande d'ajout de periferique

et quand tu dis manuellement c'est a dire en appuyant sur le bouton ou en l'eteignant normaleent?

chaita · Answer

manuellement= normalemen essai de le faire en mode normal

patricky · Answer

c'est bizare que l'ecran se retablis pas

patricky · Answer

la c'est encore pire non seulement mon ecran est bleu mais en plus j'ai plus d'icone

chaita · Answer

tu en est ou est tu arrive a faire sortir les rappot?

patricky · Answer

bah je pourai le faire passer sur un autre ordinateur a l'aide d'une clee usb pour le poster mais je pense pas que sa serviré a quelque chose nan?

patricky · Answer

parce que je te dis quand je passe en mode normale l'ecran est tous bleu

chaita · Answer

se serait bien si tu pourrai les poster

patricky · Answer

ok mais tu pourra surveiller le sujet dans les jours suivant la parce que je peux pu trop travailler dessus pour aujourd'hui si tu peux pas je me debrouillerai

chaita · Answer

tinkiet pas je t'ederai on va regler se probleme est tu a essayer de faire une restauration de systeme?

patricky · Answer

sa y'est j'ai reussi a le recuper avec un mode sans echec avec prise en charge reseau

patricky · Answer

SmitFraudFix v2.391

Rapport fait à 18:18:41,70, 24/01/2009
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4126400E-92CC-4D30-A7DB-28382EFAD1BA}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDB16165-57C8-41B7-9AEE-B7BF76ECAEDF}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4126400E-92CC-4D30-A7DB-28382EFAD1BA}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDB16165-57C8-41B7-9AEE-B7BF76ECAEDF}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4126400E-92CC-4D30-A7DB-28382EFAD1BA}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CDB16165-57C8-41B7-9AEE-B7BF76ECAEDF}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage du registre non souhaité.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

patricky · Answer

justement quand j'ai lancer la mise en charge reseau il ma dis que je l'aavais pas acherver j'ai fais annuler pour le moment et j'ai retrouvé les icone en mode normal

patricky · Answer

il faut que je fasse une restauration de systeme?

chaita · Answer

non atend je regarde on rapport

chaita · Answer

Bien ....


la suite dans l'ordre :


1- Télécharge UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés, ainsi que les CD et DVD rom dont tu te sers éventuellement le plus souvent ( mais sans les ouvrir ! ) .


--> Double-clique sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil :

* Tape sur 1 ( option " nettoyage " ) puis sur [entrée] et suis les instructions ...

--> Le pc va redémarrer ... laisse travailler l'outil et ne touche à rien ...
( Note : pour les unités externes non utlisées, clique sur "continuer" lors du message d'avertissement )


--> Une fois de retour à ton bureau , attends le message de fin du nettoyage ,
puis appuie sur une touche pour que le rapport "UsbFix.txt" s'affiche .

Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valides .


==================================================

2- Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php 

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport hijackthis pour analyse ...

patricky · Answer

faut que je fasse sa en mode sans echec prise en charge reseau parce que je epux toujours pas bouger en mode normal

chaita · Answer

si tu peut fais le avec la prise en charge du resaux

patricky · Answer

ou alors une restauration de systeme?

chaita · Answer

par cio,ntre pour malwaresbites fait le en mode sans echec sans prise en charge du reseau

patricky · Answer

sa marche pas tes liens

patricky · Answer

bon c'est tous que je ferai pour aujourd'hui a demain et merci 
demain je serais pas la l'apresmidi alors je verrai ce que je peux faire pendant la matiné

chaita · Answer

http://www.commentcamarche.net/forum/affich 10429787 trojan win32 gen other?page=2

ok regarde sur cet page et va au topic 37 ce lien marche bizar que celui la ne marche pas

patricky · Answer

marche pas non plus bizar sa me mat archive host 404 NOT FOUND

chaita · Answer

ok le lien de malwarebies marche par contre je vient d'apprendre que le createu de usbfix vient de dcider de l'arreter je vais chercher un similaire

patricky · Answer

Bon a demain

chaita · Answer

c'est bon j"ai trouver RAVantivirus : ▶ Télécharge http://ww25.evosla.com/compteur.php?soft=rav_antivirus (d'Evosla) ▶ Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX ▶ Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau ▶ Doucle-clique sur >> RAV.exe << afin de lancer l'outil. ▶ Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) ▶ Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . ▶ Retire tes disques amovibles et redémarrez votre ordinateur. ▶ Poste le rapport, si infection! Flash_Disinfector : ▶ Télécharge l'outil http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe de sUBs et enregistre le sur ton bureau ▶Double clique sur Flash_Disinfector.exe pour l'exécuter. ▶Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. ▶Puis clic sur Ok ▶Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!] ▶Appuie ensuite sur OK, pour faire réapparaître le bureau.

patricky · Answer

ok tout sa est fais j'ai fais tout en mode sans echec avec prise en cherge reseau
z

patricky · Answer

je pars dans une demi heure je reviens dans l'apres mdi vers 15h30

chaita · Answer

en mode normal si tu peut sinon fait la comme tu le peu

patricky · Answer

nan maisc'est bon je  l'est faite mais la sa marche toujours pas

chaita · Answer

si u n'arrive pas a me poster ler rapport on va avoir du mal...

patricky · Answer

quel rapport?

patricky · Answer

a exact j'ai oublié malarewsbyte je pensais que flash desinfector le remplacer je le poste demain y'a pas de soucis je l'ai pas fais sa par contre j'ai fais que le topic 71

chaita · Answer

le rapport de rave antivirus

patricky · Answer

il ma mis votre ordinateur est sain donc pas de rapport nan?

chaita · Answer

ok dans ce cas la voila se q'on fait...

desinstalle avast qui est un tres mauvais abtivirus et vire le de l'ordi ensuite telecharge antivir le meilleur antivirus gratuit :

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

voici un petit comparatif d'avast et antivir y a pas photo


https://forum.malekal.com/viewtopic.php?f=45&t=11659

ensuite fait un scan et poste moi le rapport d'antivir pour analyse

patricky · Answer

ok je faissa mais la je vien de lance malawersbyte

patricky · Answer

au faite en me connectant ya un antivirus qui ma contacter il m'a adis que mon disque c et mes document etait infecté le reste etait clean

chaita · Answer

c'est du pipo..............

patricky · Answer

j'ai examiner c et d malawers ma dis que j'avais 9 fichier infecté

patricky · Answer

il est vachement long ce truc  sa fais deja 10 minute qu'il est lancé

patricky · Answer

s'ayez j'ai mis supprimer les virus avec malarewsbytes et mon mode normal remarche je crois qu'il rame encore un peu donc je sais pas si il est gueri je te poste le rapport de malarews

patricky · Answer

Version de la base de données: 1696
Windows 5.1.2600 Service Pack 2

26/01/2009 19:43:15
mbam-log-2009-01-26 (19-43-15).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 117746
Temps écoulé: 28 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\dskquota32.dll (Worm.P2P) -> Delete on reboot.
C:\WINDOWS\system32\1.tmp (Trojan.Fraudtool) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\84a65cfd517 (Worm.P2P) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{389a1350-d65e-0593-7af0-7f078c70ca8a} (Adware.SnappyAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\undefined (Adware.SnappyAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ylabgjvneiayf (Adware.SnappyAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{46b2e6a2-239d-fd0e-a964-8352ce337cfb} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{46b2e6a2-239d-fd0e-a964-8352ce337cfb} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{db1c334f-461b-9019-ca85-e805336e4754} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{db1c334f-461b-9019-ca85-e805336e4754} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e72ff5d5-4da5-f454-8b9d-6b3463a35696} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e72ff5d5-4da5-f454-8b9d-6b3463a35696} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hpfsched (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ehfcyvpeurkhqesr (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Worm.P2P) -> Data: c:\windows\system32\dskquota32.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Worm.P2P) -> Data: system32\dskquota32.dll -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\hpfsched.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dskquota32.dll (Worm.P2P) -> Delete on reboot.
C:\WINDOWS\system32\1.tmp (Trojan.Fraudtool) -> Delete on reboot.
C:\Program Files\eChanblard\EvID4226Patch.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EF1285BC-488A-40B7-B334-3471ADCF3B43}\RP306\A0072019.dll (Worm.P2P) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\compatui32.dll (Worm.P2P) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fgljpdzizxaox.dll-uninst.exe (Adware.SnappyAds) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\undefined-remove.exe (Adware.SnappyAds) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ylabgjvneiayf.exe (Adware.SnappyAds) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lgwwunfkpxugvn.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
seAA.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fgljpdzizxaox.dll (Adware.BHO) -> Quarantined and deleted successfully.


c'est le rapport juste avant qu'il me demande de redemarrer pour suprimer deux fichier infecté encore

patricky · Answer

j'ai fais une nouveau rapport en rapide cette fois je n'avais plus qu'un seul fichier contaminé qui n'est plus
ils sont tous mis en quarantaine que dois je faire maitenant refaire un rapport

chaita · Answer

fais ceci :

Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .

Appuie sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse et attends la suite ...

patricky · Answer

y'en a un qui persiste celui du deuxieme rapport j'ai refais encore un rapport pour verifier que celui du deuxieme rapport avais disparut il se nomme rogue.eorezo

patricky · Answer

ok sa marche

patricky · Answer

voila le rapport ComboFix 09-01-21.04 - Propriétaire 2009-01-26 20:58:58.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1791.1380 [GMT 1:00] Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe AV: avast! antivirus 4.8.1229 [VPS 090126-0] *On-access scanning disabled* (Updated) . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat c:\documents and settings\Propriétaire\Application Data\[u]0/u20000007b37bc3d517C.manifest c:\documents and settings\Propriétaire\Application Data\[u]0/u20000007b37bc3d517O.manifest c:\documents and settings\Propriétaire\Application Data\[u]0/u20000007b37bc3d517P.manifest c:\documents and settings\Propriétaire\Application Data\[u]0/u20000007b37bc3d517S.manifest c:\program files\Mozilla Firefox\components\fgljpdzizxaox.dll c:\windows\GnuHashes.ini c:\windows\system32\404Fix.exe c:\windows\system32\Agent.OMZ.Fix.exe c:\windows\system32\dumphive.exe c:\windows\system32\GroupPolicy000.dat c:\windows\system32\GroupPolicyManifest c:\windows\system32\GroupPolicyManifest\32.crack.zip c:\windows\system32\GroupPolicyManifest\32.crack.zip.kwd c:\windows\system32\GroupPolicyManifest\33.video.zip c:\windows\system32\GroupPolicyManifest\33.video.zip.kwd c:\windows\system32\GroupPolicyManifest\34.setup.zip c:\windows\system32\GroupPolicyManifest\34.setup.zip.kwd c:\windows\system32\GroupPolicyManifest\35.unpack.zip c:\windows\system32\GroupPolicyManifest\35.unpack.zip.kwd c:\windows\system32\GroupPolicyManifest\36.keygen.zip c:\windows\system32\GroupPolicyManifest\36.keygen.zip.kwd c:\windows\system32\GroupPolicyManifest\37.serial.zip c:\windows\system32\GroupPolicyManifest\37.serial.zip.kwd c:\windows\system32\GroupPolicyManifest\39.music.mp3 c:\windows\system32\GroupPolicyManifest\39.music.mp3.kwd c:\windows\system32\GroupPolicyManifest\40.mpgvideo.mpg c:\windows\system32\GroupPolicyManifest\40.mpgvideo.mpg.kwd c:\windows\system32\IEDFix.C.exe c:\windows\system32\IEDFix.exe c:\windows\system32\o4Patch.exe c:\windows\system32\Process.exe c:\windows\system32\SrchSTS.exe c:\windows\system32\tmp.reg c:\windows\system32\VACFix.exe c:\windows\system32\VCCLSID.exe c:\windows\system32\WS2Fix.exe ----- BITS: Il y a peut-être des sites infectés ----- hxxp://speedytorrents.net . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_OREANS32 -------\Service_oreans32 ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-26 au 2009-01-26 )))))))))))))))))))))))))))))))))))) . 2009-01-26 18:31 . 2009-01-26 18:31 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-26 18:31 . 2009-01-26 18:31 d-------- c:\documents and settings\Propriétaire\Application Data\Malwarebytes 2009-01-26 18:31 . 2009-01-26 18:31 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-01-26 18:31 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-26 18:31 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-24 14:36 . 2009-01-24 14:36 d--hs---- C:\found.000 2009-01-24 13:43 . 2009-01-24 13:43 d-------- c:\program files\CCleaner 2009-01-24 12:43 . 2009-01-24 12:48 d-------- C:\ToolBar SD 2009-01-24 12:34 . 2009-01-24 12:34 d-------- c:\program files\Trend Micro 2009-01-24 11:44 . 2009-01-24 11:45 d-------- c:\program files\Fighters 2009-01-24 11:44 . 2009-01-24 11:44 d-------- c:\documents and settings\All Users\Application Data\Fighters 2009-01-24 11:33 . 2009-01-24 11:33 d-------- c:\program files\Snappyads Games Collection 2009-01-10 21:52 . 2009-01-10 21:52 268 --ah----- C:\sqmdata18.sqm 2009-01-10 21:52 . 2009-01-10 21:52 244 --ah----- C:\sqmnoopt18.sqm 2008-12-29 22:38 . 2001-08-17 21:56 7,552 --a------ c:\windows\system32\drivers\SONYPVU1.SYS 2008-12-29 22:38 . 2001-08-17 21:56 7,552 --a--c--- c:\windows\system32\dllcache\sonypvu1.sys 2008-12-27 13:47 . 2008-12-27 13:47 d-------- c:\documents and settings\Propriétaire\Application Data\TomTom 2008-12-27 13:46 . 2008-12-27 13:46 d-------- c:\program files\TomTom HOME 2 2008-12-26 23:36 . 2008-12-26 23:36 268 --ah----- C:\sqmdata17.sqm 2008-12-26 23:36 . 2008-12-26 23:36 244 --ah----- C:\sqmnoopt17.sqm 2008-12-26 10:56 . 2009-01-24 11:39 d-------- c:\documents and settings\Propriétaire\Application Data\LimeWire 2008-12-26 10:55 . 2008-12-26 10:56 d-------- c:\program files\LimeWire 2008-12-26 00:31 . 2008-12-26 00:31 268 --ah----- C:\sqmdata16.sqm 2008-12-26 00:31 . 2008-12-26 00:31 244 --ah----- C:\sqmnoopt16.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-26 18:46 --------- d-----w c:\documents and settings\Propriétaire\Application Data\skypePM 2009-01-14 16:22 --------- d-----w c:\program files\eChanblard 2009-01-14 16:11 --------- d-----w c:\documents and settings\Propriétaire\Application Data\Apple Computer 2009-01-10 18:01 --------- d-----w c:\documents and settings\Propriétaire\Application Data\Skype 2009-01-08 17:52 --------- d-----w c:\program files\Windows Live Safety Center 2009-01-04 20:43 --------- d-----w c:\documents and settings\Propriétaire\Application Data\dvdcss 2008-12-24 14:19 --------- d-----w c:\program files\Everest Poker 2008-12-20 14:08 --------- d-----w c:\documents and settings\Propriétaire\Application Data\ufbteam 2008-12-16 22:36 --------- d-----w c:\program files\EoRezo 2008-12-16 22:36 --------- d-----w c:\documents and settings\Propriétaire\Application Data\EoRezo 2008-12-14 22:32 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft 2008-12-14 22:31 --------- d-----w c:\program files\Lavasoft 2008-12-14 22:30 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard 2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-06 17:41 --------- d-----w c:\program files\PokerStars 2008-12-06 12:47 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-06 12:43 --------- d-----w c:\program files\PENDULO Studios 2008-12-05 20:51 278,728 ----a-w c:\windows\system32\drivers\atksgt.sys 2008-12-05 20:51 25,416 ----a-w c:\windows\system32\drivers\lirsgt.sys 2008-11-29 20:54 --------- d-----w c:\documents and settings\Propriétaire\Application Data\teamspeak2 2008-11-29 11:21 --------- d-----w c:\program files\Guitar Pro 5 2008-11-14 21:57 81,920 ------r c:\windows\bwUnin-6.1.4.36-8876480L.exe 2008-06-26 19:41 22,328 -c--a-w c:\documents and settings\Propriétaire\Application Data\PnkBstrK.sys 2009-01-19 13:25 673,280 ----a-w c:\program files\mozilla firefox\components\nssnappyads.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] "LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2008-11-14 16384] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320] "TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-12-09 7311360] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-12-09 86016] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008] "AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-05-27 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-07-10 289064] "LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2003-08-29 188416] "LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2003-08-29 77824] "spywarefighterguard"="c:\program files\Fighters\spywarefighter\SpywarefighterUser.exe" [2008-11-18 180872] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe] "nwiz"="nwiz.exe" [2005-12-09 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-08-28 51984] Gestionnaire Microsoft Office.lnk - c:\program files\Microsoft Office\Office\MSOFFICE.EXE [1997-08-28 340480] Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-11-14 169472] Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-08-28 111376] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.enc"= ITIG726.acm [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\eChanblard\emule.exe"= "d:\games\Valve\Steam\SteamApps\kingxam@caramail.com\counter-strike\hl.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\Microsoft Games\Age of Empires III\age3.exe"= "d:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "d:\PES\Fairlight\PES2008.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "d:\Program Files\Sports Interactive\Football Manager 2008\fm.exe"= "c:\Documents and Settings\Propriétaire\Bureau\PES2008.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Skype\Phone\Skype.exe"= "c:\Program Files\LimeWire\LimeWire.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-30 78416] R3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [2002-12-11 18953] R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-07-30 20560] R4 HPFECP13;HPFECP13;c:\windows\system32\drivers\HPFecp13.sys [1998-07-30 52800] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-06-14 576680] S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2008-11-14 152576] S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b396a98-d413-11dd-b269-0007cb0000ff}] \Shell\AutoRun\command - G:\InstallTomTomHOME.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e20e46e-df40-11dd-b285-0007cb0000ff}] \Shell\AutoRun\command - G:\ \Shell\explore\Command - RECYCLED\INFO.exe \Shell\open\Command - RECYCLED\INFO.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b23e183e-428d-11dd-b17b-0007cb0000ff}] \Shell\AutoRun\command - E:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c07e4812-7742-11dd-b1c4-0007cb0000ff}] \Shell\AutoRun\command - G:\ \Shell\explore\Command - RECYCLED\INFO.exe \Shell\open\Command - RECYCLED\INFO.exe . Contenu du dossier 'Tâches planifiées' 2008-10-30 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57] . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-EoEngine - (no file) . ------- Examen supplémentaire ------- . mWindow Title = uInternet Settings,ProxyOverride = *.local;localhost IE: Download Video on This Page - c:\program files\Tomato\YouTube Video Downloader\IEPage.html IE: Download Video This Links To - c:\program files\Tomato\YouTube Video Downloader\IELink.html IE: {{11F19C45-9675-488A-A8E0-8E8234DC245D} - c:\program files\Tomato\YouTube Video Downloader\IEPage.html DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\lbfedise.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www15.yoog.com/search.php?q= FF - prefs.js: browser.search.selectedEngine - Yoog Search FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official FF - prefs.js: keyword.URL - hxxp://www15.yoog.com/search.php?q= FF - component: c:\program files\Mozilla Firefox\components\nssnappyads.dll FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll ---- PARAMETRES FIREFOX ---- FF - user.js: browser.search.selectedEngine - Yoog Search FF - user.js: keyword.URL - hxxp://www15.yoog.com/search.php?q= FF - user.js: keyword.enabled - true FF - user.js: browser.search.defaultenginename - Yoog Search FF - user.js: browser.search.defaulturl - hxxp://www15.yoog.com/search.php?q= . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-26 21:02:07 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-1606980848-562591055-1801674531-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:a2,31,dd,6e,af,81,de,b3,5a,e5,75,b9,19,15,1b,e5,59,c0,22,df,99,50,3f, 3d,19,48,6c,9e,01,16,a6,d8,e8,c3,fb,2e,fa,8f,a2,f8,41,db,c6,a7,72,9e,5e,ef,\ "??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50 . ------------------------ Autres processus actifs ------------------------ . c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\PnkBstrB.exe c:\windows\system32\rundll32.exe c:\windows\system32\wscntfy.exe c:\windows\system32\LVComS.exe c:\program files\iPod\bin\iPodService.exe c:\program files\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Heure de fin: 2009-01-26 21:05:28 - La machine a redémarré [Propriétaire] ComboFix-quarantined-files.txt 2009-01-26 20:05:25 Avant-CF: 4,400,025,600 octets libres Après-CF: 4,346,646,528 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn 258 --- E O F --- 2009-01-14 18:32:29

chaita · Answer

Bien ....


Télécharge Ad-remover ( de C_XX ) sur ton bureau ( et pas ailleurs!) :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes application en cours ( navigarteur compris ) !

* Clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installe par défaut .
* Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
* Au menu principal choisis l'option "A" et tape sur [entrée] .

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

patricky · Answer

on progresse bien la ou pas on arrive au bout?

désolé je peux plus rien faire pour aujourd'hui je peux plus aller dessus j'ai un devoir demain

chaita · Answer

ok on poursui demain ne tinkiet pas on y est presque c'est biento fini a demain bonne soiree

patricky · Answer

OK mec c'est vraiment sympa de m'aider

patricky · Answer

le voici



------- LOGFILE OF AD-REMOVER 1.0.9.3 | ONLY XP/VISTA -------

Updated by C_XX on 17/01/2009 at 12:00

Start at: 18:46:07 | Mar 27/01/2009 | Microsoft® Windows XP™  SP2 (V5.1.2600)
Boot mode: Normal
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Pc: VINC-T9U2X8NE22 | User: Propri‚taire ( Current user is an administrator)
Drive(s): 
- C:\  (File System: NTFS)
- D:\  (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 47

+--------------------| Boonty/Boonty Games Elements Found :

.
.

+--------------------| Eorezo Elements Found :

.
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\SOFTWARE\EoRezo
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Program Files\EoRezo\EoAdv
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\EoRezo\EoMultiLanguage.dll
C:\Program Files\EoRezo\EoRezoTools_16.dll
C:\Program Files\EoRezo\EoRezoTools_27.dll
C:\Program Files\EoRezo\FreeImage.dll
C:\Program Files\EoRezo\EoAdv\EoAdv.dll
C:\Program Files\EoRezo\EoAdv\eoAdv.url
C:\Program Files\EoRezo\EoAdv\EoRezoBho.old
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\cache
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\cmhost.cyp
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\ConfMedia.cyp
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\db
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\eoDesktop
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\eoStats
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\host.cyp
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\user.cyp
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\db\cat.cyp
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\eoDesktop\config.xml
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\eoDesktop\eoDesktop.html
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo\eoDesktop\userConfig.xml

+--------------------| Everest Casino/Everest Poker Elements Found :

.
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
.
C:\log_lobby_dumper.txt
C:\log_lobby.txt
C:\Program Files\Everest Poker
C:\Program Files\Everest Poker\casino.exe
C:\Program Files\Everest Poker\CStart.exe
C:\Program Files\Everest Poker\data
C:\Program Files\Everest Poker\Everest Poker.exe
C:\Program Files\Everest Poker\gvbase.dll
C:\Program Files\Everest Poker\gvcrt.dll
C:\Program Files\Everest Poker\gvgfx-dib.dll
C:\Program Files\Everest Poker\gvgfx.dll
C:\Program Files\Everest Poker\gvmain.dll
C:\Program Files\Everest Poker\gvmain.exe
C:\Program Files\Everest Poker\gvnetwork.dll
C:\Program Files\Everest Poker\gvsound.dll
C:\Program Files\Everest Poker\init.ini
C:\Program Files\Everest Poker\log.dat
C:\Program Files\Everest Poker\settings.ini
C:\Program Files\Everest Poker	oc_fr.ini
C:\Program Files\Everest Poker\data\fonts
C:\Program Files\Everest Poker\data\mp-lobby
C:\Program Files\Everest Poker\data\mp-poker
C:\Program Files\Everest Poker\data\shared
C:\Program Files\Everest Poker\data\startup
C:\Program Files\Everest Poker\data\fonts\kgp-en.ttf
C:\Program Files\Everest Poker\data\mp-lobby\fr.gvt
C:\Program Files\Everest Poker\data\mp-lobby\shared.gvt
C:\Program Files\Everest Poker\data\mp-poker\background
C:\Program Files\Everest Poker\data\mp-poker\fr
C:\Program Files\Everest Poker\data\mp-poker\shared.gvt
C:\Program Files\Everest Poker\data\mp-poker\background\default.gvt
C:\Program Files\Everest Poker\data\mp-poker\fr\bitmaps.gvt
C:\Program Files\Everest Poker\data\mp-poker\fr\mp-poker_strings.txt
C:\Program Files\Everest Poker\data\mp-poker\fr\mp-poker_tutorial.txt
C:\Program Files\Everest Poker\data\shared\fr
C:\Program Files\Everest Poker\data\shared\shared
C:\Program Files\Everest Poker\data\shared\fr\country.txt
C:\Program Files\Everest Poker\data\shared\fr\language.txt
C:\Program Files\Everest Poker\data\shared\fr\ordinal.txt
C:\Program Files\Everest Poker\data\shared\shared\bitmaps
C:\Program Files\Everest Poker\data\shared\shared\sounds
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\btn_scroll.gvt
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\check.art
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\chips.art
C:\Program Files\Everest Poker\data\shared\shared\sounds\button.ogg
C:\Program Files\Everest Poker\data\shared\shared\sounds\carddeal.ogg
C:\Program Files\Everest Poker\data\shared\shared\sounds\cardflip.ogg
C:\Program Files\Everest Poker\data\shared\shared\sounds\chipclick.ogg
C:\Program Files\Everest Poker\data\startup\en
C:\Program Files\Everest Poker\data\startup\fr
C:\Program Files\Everest Poker\data\startup\shared
C:\Program Files\Everest Poker\data\startup\en\startup_strings.txt
C:\Program Files\Everest Poker\data\startup\fr\cstart.txt
C:\Program Files\Everest Poker\data\startup\fr\startup_strings.txt
C:\Program Files\Everest Poker\data\startup\shared\bitmaps
C:\Program Files\Everest Poker\data\startup\shared\icons
C:\Program Files\Everest Poker\data\startup\shared\sounds
C:\Program Files\Everest Poker\data\startup\shared\bitmaps\splash_poker.art
C:\Program Files\Everest Poker\data\startup\shared\icons\ep.ico
C:\Program Files\Everest Poker\data\startup\shared\sounds\alert.ogg
C:\Documents and Settings\All Users\Menudm~1\Progra~1\Everest Poker
C:\Documents and Settings\All Users\Menudm~1\Progra~1\Everest Poker\Everest Poker.lnk
C:\Documents and Settings\All Users\Menudm~1\Progra~1\Everest Poker\Uninstall Everest Poker.lnk
C:\Documents and Settings\All Users\Bureau\Everest Poker.lnk

+--------------------| Funwebproducts/Myway/Mywebsearch/Myglobalsearch Elements Found :

.
.

+--------------------| It's TV Elements Found :

.

+--------------------| Sweetim Elements Found :

.
.

+--------------------| Added Scan :


+---------- SCANNING PREFS.JS ... ( # Mozilla user preferences )

..\lbfedise.default\prefs.js :

~~~~ MOZILLA FIREFOX VERSION 3.0.5 ~~~~

* BROWSER SEARCH DEFAULT ENGINE:  "Yoog Search"
* BROWSER SEARCH SELECTED ENGINE:  "Yoog Search"
* BROWSER SEARCH DEFAULT URL:  "http://www15.yoog.com/search.php?q="
* BROWSER STARTUP HOMEPAGE:  "https://start.mozilla.org/fr/"

.

+---------------------------------------------------------------------------+


~~~~ INTERNET EXPLORER VERSION 6.0.2900.2180 ~~~~

+--[HKEY_CURRENT_USER\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

+---------------------------------------------------------------------------+

[~7304 BYTES] - "C:\AD-REPORT-SCAN-27.01.2009.LOG"

End at: 18:46:41 | 27/01/2009 - Time elapsed: 34.5 seconds 

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 140 Lines ]
+---------------------------------------------------------------------------+

chaita · Answer

ok on poursui


Nettoyage AD-Remover :

! Déconnecte toi et ferme toutes application en cours ( navigarteur compris ) !

* Relance "Ad-remover" : au menu principal choisis l'option "B" .

* A l'écran de sélection :

> choisis le(s) chiffre(s) suivant pour nettoyer les traces de :

1 - "Boonty/BoontyGames" puis [entrée]
2 - "Eorezo" puis [entrée]


Une fois la sélection faite, tape S puis [entrée] pour lancer la suppression .

--> le programme va travailler , ne touche à rien ...


* Poste le rapport qui apparait à la fin + un nouvel Hijackthis pour analyse ...

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

patricky · Answer

le rapport ad


------- LOGFILE OF AD-REMOVER 1.0.9.3 | ONLY XP/VISTA -------

Updated by C_XX on 17/01/2009 at 12:00

*** LIMITED TO ***

Boonty/Boontygames
Eorezo

******************

Start at: 12:27:35 | Mer 28/01/2009 | Microsoft® Windows XP™  SP2 (V5.1.2600)
Boot mode: Normal
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Pc: VINC-T9U2X8NE22 | User: Propri‚taire ( Current user is an administrator)
Drive(s): 
- C:\  (File System: NTFS)
- D:\  (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 48

(!) ---- IE start pages reset

+--------------------| Boonty/Boonty Games Elements Deleted :

.
.

+--------------------| Eorezo Elements Deleted :

.
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\SOFTWARE\EoRezo
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Documents and Settings\Propri‚taire\Application Data\EoRezo

(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.


+--------------------| Added Scan :


+---------- SCANNING PREFS.JS ... ( # MOZILLA USER PREFERENCES )

..\lbfedise.default\prefs.js :

~~~~ MOZILLA FIREFOX VERSION 3.0.5 ~~~~

* BROWSER SEARCH DEFAULT ENGINE:  "Yoog Search"
* BROWSER SEARCH SELECTED ENGINE:  "Yoog Search"
* BROWSER SEARCH DEFAULT URL:  "http://www15.yoog.com/search.php?q="
* BROWSER STARTUP HOMEPAGE:  "https://start.mozilla.org/fr/"

.

+---------------------------------------------------------------------------+


~~~~ INTERNET EXPLORER VERSION 6.0.2900.2180 ~~~~

+--[HKEY_CURRENT_USER\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://fr.msn.com/

+---------------------------------------------------------------------------+

[~2241 BYTES] - "C:\AD-REPORT-CLEAN-28.01.2009.LOG"
[~7637 BYTES] - "C:\AD-REPORT-SCAN-27.01.2009.LOG"

End at: 12:29:11 | 28/01/2009 - Time elapsed: 95.6 seconds 

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 50 Lines ]
+---------------------------------------------------------------------------+

patricky · Answer

voila le hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:33:16, on 28/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\LVComS.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Gestionnaire Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: Download Video on This Page - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
O8 - Extra context menu item: Download Video This Links To - C:\Program Files\Tomato\YouTube Video Downloader\IELink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Download Video - {11F19C45-9675-488A-A8E0-8E8234DC245D} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
O9 - Extra 'Tools' menuitem: Download Video on This Page - {11F19C45-9675-488A-A8E0-8E8234DC245D} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

chaita · Answer

Salut,


impec ...

fais ceci maintenant :

Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

!!Déconnecte toi et ferme tes applications en cours !!

Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvre le dossier Genproc :
-> clique droit / " executer entant qu'admin..." sur GenProc.bat et laisses faire...

Une fois terminé, poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

Guitariste · Answer

Télécharge : 

- AVG free Edition et après l'installation tu la mets à jour et tu scanne. 
- Malwarebytes' Anti-Malware 
- CCleaner 

ça faira l'affaire ;)

chaita · Answer

tu sera gentil de ne pas perturber la manip.....

Guitariste · Answer

chaita : tu sera gentil de ne pas perturber la manip.....

j'ai donné une solution et manipule d'ici l'an 2050 :)

chaita · Answer

solution bidon

ya beaucoup de pc infecter va faira un petit tour  ou sinon tu a la rubrique jeux video.............

Guitariste · Answer

je t'emerde si tu vx le savoir ...

bref

chaita · Answer

et moi je t'enc***le

patricky · Answer

ok je te poste sa demain 

calmer vous les mec

chaita · Answer

ok sa marche

patricky · Answer

Rapport GenProc 2.351 [1] - 30/01/2009 - Windows XP 
 
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 


# Etape 1/ Télécharge :
 
- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** Propriétaire ***  

 
# Etape 2/ 
 
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.


# Etape 3/ 
 
 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
 
# Etape 4/ 
 
 Redémarre normalement et poste, dans la même réponse : 
 
- Le contenu du rapport MSNfix situé sur le Bureau ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ; 

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
 
____________________________________________________________________________________________________________
 
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

chaita · Answer

ta les rapport???

patricky · Answer

bah tu ma demander de poster c erapport et d'attendre les instruction pour vois si yaver rien a rajouter avant de commencer

chaita · Answer

Oki ...


dans l'ordre :


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "éxécuter en tant que Administrateur"

*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

=====================

4- Important :
Purge de la restauration système
-->Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK
Redémarre ton PC ...

-->Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK
Redémarre ton PC ...

( tuto : https://www.commentcamarche.net/list 13214 desactiver reactiver la restauration systeme de vista )

=====================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

https://www.bitdefender.fr/

* Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

* pour le rapport : clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
-> Clique dessus donc, et choisis d'enregistrer le rapport sur ton bureau .


--> Ouvre le document html que tu viens de sauvegarder ( le rapport ),
fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse ...


Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici :
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
Et ici : https://www.commentcamarche.net/list 8872 scanner en ligne avec bitdefender

patricky · Answer

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\GenProc: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\HijackThis.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\SmitFraudfix: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\SmitfraudFix\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\SmitfraudFix\SmitFraudfix: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\HijackThis.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\ToolBarSD.exe: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\SmitfraudFix\SmitFraudFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\TB.txt: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\GenProc: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\SmitFraudfix: supprimé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

chaita · Answer

Fais un scan en ligne avec " Panda " :

https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan

tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368


poste moi le rapport obtenu pour analyse ...

patricky · Answer

desole j'etais pas beaucoup la ce week end je m'arrangerai demain pour finir la liste des chose a faire

patricky · Answer

je  crois que c'est le scan panda 

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-02-04 18:09:06
PROTECTIONS: 1
MALWARE: 15
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1229 [VPS 090203-1]     4.8.1229                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@atdmt[2].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@ad.yieldmanager[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bs.serving-sys[2].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@advertising[2].txt
00173520  Cookie/Bluestreak                  TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[2].txt
00199231  HackTool/EvID                      HackTools           No        0         No             No           D:\drivz\eChanblard.exe[EvID4226Patch.exe]
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Propriétaire\Cookies\propriétaire@smartadserver[2].txt
00288208  Application/HideWindow.S           HackTools           No        0         Yes            No           C:\Program Files\Ad-remover\TOOLS\cmdow.exe
00364850  Adware/SaveNow                     Adware              No        0         Yes            No           C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
00366244  Application/NirCmd.A               HackTools           No        0         No             No           C:\Documents and Settings\Propriétaire\Bureau\dispositif d'urgence\Flash_Disinfector.exe[C:\Documents and Settings\Propri&#9500;&#8976;taire\Bureau\dispositif d'urgence\Flash_Disinfector.exe][nircmd.exe]
04761320  Generic Trojan                     Virus/Trojan        No        0         Yes            No           C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              *
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                *
;===================================================================================================================================================================================
  182048  HIGH       MS07-069                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  182043  HIGH       MS07-064                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  176382  HIGH       MS07-057                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  170907  HIGH       MS07-046                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  170906  HIGH       MS07-045                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  170904  HIGH       MS07-043                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  164913  HIGH       MS07-033                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  160623  HIGH       MS07-027                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  150253  HIGH       MS07-016                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  141030  HIGH       MS06-072                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  137568  HIGH       MS06-067                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  126083  HIGH       MS06-042                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  120815  HIGH       MS06-022                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  120814  HIGH       MS06-021                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
  114664  HIGH       MS06-013                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   *
;=================================================

chaita · Answer

Salut, Suite et fin dans l'ordre : 1- Déconnecte toi et ferme bien toutes tes applications en cours . Lance Toolscleaner2 . *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : ---> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . Puis enfin supprime Toolscleaner2 ... 2- Refais un coup de CCleaner ( registre compris ) . 3- Fais ce check-up pour finir : ( étape A à faire de suite ! et le reste dès que tu peux mais ne tarde pas trop ;) ) A-Purge de la restauration système *Désactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... *Réactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

patricky · Answer

ok je te dis ce que sa a donner demain vers 19h la jivais

patricky · Answer

il me dis qu'il a pas asser de place pour defragmenter faut que je supprime ou jep eux faire autrement

chaita · Answer

bizzar essaye peut etre de  sauvegarder des donnée sur un disque et de defagmenter

patricky · Answer

ildemande une certaine capacité que je n'ai pas car j'ai bourrer mon disque

chaita · Answer

ok mais faudrait trouver une solution car il est important de defragmenter sinon comment va le pc?

patricky · Answer

il va bien j'ai rien remarquer a part peut etre que j'ai avast que j'allais desinstaller qui s'enflemme qu'en je me connecte en me disant que faut abandonner la connection avec un truc qui se telecharge mais sa n'affecte rien ma connection continu et il s'arrete

patricky · Answer

il va bien j'ai rien remarquer a part peut etre que j'ai avast que j'allais desinstaller qui s'enflemme qu'en je me connecte en me disant que faut abandonner la connection avec un truc qui se telecharge mais sa n'affecte rien ma connection continu et il s'arrete

patricky · Answer

j'ai aussi un espece de virus navigateur (yoog search ) qui remplace le cadre en haut a droite je suis tout le temp obligé de remetrre mozlla dans le cadre

chaita · Answer

vire avast et installe antivir qui est beaucoup mieu -https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

patricky · Answer

c'est bon j'ai defragmenter et crée un pointy de restauration

Win32:Spyware-gen [Trj] aider moi vite

127 réponses

Votre réponse

Discussions similaires

Newsletters