Comment supprimer mon cheval de Troie Fermé

Question

Bonjour, voici le rapport hijackthis de mon PC, j'ai un cheval de Troie que je n'arrive pas à supprimer à l'aide des antivirus tels avast ou trend micro internet security par exemple. Que faire pour m'en débarrasser? Surtout qu'il est présent sur trois clés USB et mon deuxième PC également. Merci d'avance pour la réponse. Cordialement.

Logfile of HijackThis v1.99.1
Scan saved at 23:28:30, on 04/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\Winamp\Winampa.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Trend Micro\BM\TMBMSRV.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LO4752~1\LOCALS~1\Temp\Rar$EX00.141\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://dt-updates.com/activate?query=TxiHkVZ0tUOc9UAYdRJ940UBDZEv51oU7GJN0lo1qrri1cl9Ng%2bcJeUCsA1%2bOdZxqxVXNJBrA1HrdEp6mOPMIMCHgpTCtk0UF1uZxOjjatv9WrKnNIIcG65pYjzjE5l2MBjctPj138MA38reZ50sFEOf5Pp88BjO%2f0xpgkwgbjbImkNoexzbMZyeERK2iO5IDk%2fGXm6n%2fzVZ4MrkJHMB%2fsaNbsUZQ7tKnFJiOdH9k2halSSisuMfAdGPUgEyLvRvyHy1fKBD6NXuXhkAC8%2fEKEugkGD5HrqtwpZRt3pKieU%3d
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [13CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0950\vsse33.exe
O4 - HKCU\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: LBTWlgn - c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Composant de commande centrale Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Unknown owner - C:\Program Files\Trend Micro\BM\TMBMSRV.exe" /service (file missing)
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe

jacques.gache · Answer

bonjour, rien sur ton hijackthis mais comme la version est périmé tu devrais le désinstaller et  réinstaller la dernière version et refaire un nouveau rapport , Merci

jacques.gache · Answer

bonjour oui c'est la bonne version je vois rien comme infection parcontre tu as des mises à jour à faire on en repale après tu dis j'ai un cheval de Troie que je n'arrive pas à supprimer à l'aide des antivirus tels avast ou trend micro internet security par exemple et bitdéfender non plus si tu as un rapport de soit bitdéfender ou autre qui te le trouve peux tu le mettre que je puisse voir ce qu'il trouve et ou exactement , merci 
sinon si tu n'as pas de rapport tampis passes malwarebytes et postes le rapport 

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. Il va se mettre à jour une fois faite
. rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche :
 L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés)
  
. cliques sur Supprimer la sélection
 
. Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller

hugoc · Answer

Merci. Ci-joint le rapport: 

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1733
Windows 5.1.2600 Service Pack 2

06/02/2009 13:31:22
mbam-log-2009-02-06 (13-31-22).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 153105
Temps écoulé: 1 hour(s), 45 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 14
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6021389e-f440-4527-aa84-f3db43536b75} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dmschk (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6021389e-f440-4527-aa84-f3db43536b75} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bho_adw.bhoad (Unknown.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bho_adw.bhoad.1 (Unknown.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9ca1536d-5689-40ca-b92a-f646301517d7} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{85589b5d-d53d-4237-a677-46b82ea275f3} (Unknown.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{09dc28c6-bce2-42b1-b3ea-8ab82f0f3b0a} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{85589b5d-d53d-4237-a677-46b82ea275f3} (Unknown.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\13cfg914-k641-26sf-n31p (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\dmschk.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.

jacques.gache · Answer

bonjour , tu ouvre malwarebytes et tu vides sa quarantaineet puis tu fais ce qui suis, Merci 

 1) Tu relances hijackthis comme expliqué pour Fixer les lignes

.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux 
.Lances HijackThis 
.Cliques sur "Do a system scan only" 
.Tu coches les lignes suivantes : 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {6021389e-f440-4527-aa84-f3db43536b75} - C:\WINDOWS\system32\dmschk.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [13CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0950\vsse33.exe
O20 - Winlogon Notify: dmschk - dmschk.dll (file missing)

.Tu cliques sur "Fix Checked" 
.Tu fermes HijackThis 

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm



 2)  fais tes mises à jour

regarde pourquoi garder IE à JOUR
rends toi sur ce site et met IE7  http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

désinstalles adobe reader car pas à jour et telecharges et installes cette version : 
http://www.commentcamarche.net/telecharger/telechargement 27 acrobat reader 
ou 
installes foxit reader qui est plus légé et plus rapide d'ouverture que adobe : http://www.commentcamarche.net/telecharger/telecharger 205 foxit reader 

mets java à jour : https://www.java.com/fr/download/manual.jsp  et désinstalles l'ancienne version
sinon aide toi de ceci pour les mise à jour https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/
ou
désinstalles ta version actuel et installes cette version http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment
encore plus simple : utilises javaRa  http://www.commentcamarche.net/faq/sujet 15645 supprimer les anciennes versions de java avec javara
et un autre tutoriel javaRa http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara

et vois pour installer le service pack 3 de windows XP http://www.commentcamarche.net/telecharger/telecharger 34055430 windows xp sp3


 3) fais une analyse de vulnérabilité pour voir si tu n'aurais pas d'autre mises à jour à faire  que nous n'avons pas vu sur hijackthis
tu désinstalles les anciennes version si tu télécharges une nouvel.  
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/



 4) Tu désinstalles les outils utilisés avec Toolscleaner2 lui tu le supprimeras de sur le bureau manuellement ainsi que le rapport généré qui est dans ton disque dur système sous le nom de " TCleaner "
et si problème tu les désinstalles manuellement 

Télécharge toolscleaner sur ton Bureau :   http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

. Double-cliques sur ToolsCleaner2 "l'as de carreau" et laisse le travailler 
. Cliques sur Recherche et laisse le scan se terminer. attention ça peut parraitre long
. Cliques sur Suppression pour finaliser. 
. Tu peux, si tu le souhaites, te servir des Options facultatives. 
. Clique sur Quitter, pour que le rapport puisse se créer. 
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse




 5) Redémarres le PC et passes Ccleaner avec ces réglages LA



télécharge Ccleaner à partir de cette adresses


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant  rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé  tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner



et pour mieux le connaire :  https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm




  perso si tu me permets une recommandation conserves malwarebytes que tu pourras utiliser régulièrement mais fais toujours la mise à jour avant, et puis utilises Ccleaner en fonction nettoyeur à chaque arrêt du pc 
ou plus simplement comme moi sur les 5 pc de la maison ou je l'ai mis en automatique, et je l'utilise sur le registre après chaque désinstallation de programmes.

Le sioux · Answer

Bonjour

Petite incruste, J gache, tu dis ne rien voir via rapport HijackThis ici
 http://www.commentcamarche.net/forum/affich 10878390 comment supprimer mon cheval de troie#3

O2 - BHO: (no name) - {6021389e-f440-4527-aa84-f3db43536b75} - C:\WINDOWS\system32\dmschk.dll (file missing) 
O20 - AppInit_DLLs: c:\windows\system32\pmkhhif.dll
O20 - Winlogon Notify: dmschk - dmschk.dll (file missing) 

...Vundo ! 
(MBAM n'a vu que dmschk.dll lui)

Attention, O20 - AppInit_DLLs: c:\windows\system32\pmkhhif.dll   n'a toujours pas été traité ....

Salut.

jacques.gache · Answer

Le sioux bonsoir , effectivement j'avais bien vuè cette ligne mais j'ai rien trouvé de précis sur google la consernant et tu proposerais quoi ?? fixvundo ??

Le sioux · Answer

Bonsoir J Gache

Au minimum un reg pour rétablir AppInit_DLLs + c:\windows\system32\pmkhhif.dll à shooter via OTMoveIt3 par exemple.

Salut.

jacques.gache · Answer

Le sioux bonjour, pour' otmoveit ok mais pour le reg pour rétablir AppInit_DLLs la je te laisse faire je vais apprendre encore !!!

Le sioux · Answer

Bonjour les gars

Pour le reg :

Fix.Reg

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait):

REGEDIT 4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=””

Important :  REGEDIT 4 doit être sur la toute 1ere ligne sinon  le fix ne fonctionnera pas.

Puis "fichier"/"enregistrer sous" :
dans : sur le Bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
Clique sur "enregistrer"

Note: Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"

 Quitte Internet et double clique sur fix.reg  sur ton Bureau 
=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/!\ Il faut détruire le fichier en rapport c:\windows\system32\pmkhhif.dll avec OTMoveIt3 avant de rebooter le PC et de reposter un nouveau rapport Hijackthis afin de verifier que le O20 AppInit_DLLs est bien été corrigée. /!\

@+

jacques.gache · Answer

hugoc bonsoir tu fais comme dit le sioux tu fais le reg et tu feras omotveit et une fois fais tu redémarre le pc et tu poste un nouveau hijackthis pour que le sioux puisse nous certifier que c'est bon OK @+
Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

 :processes 
explorer.exe

:files
c:\windows\system32\pmkhhif.dll


:Commands
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

hugoc · Answer

Merci à vous deux, c'est un métier...
Je prends le temps de tout faire, j'espère avoir fini demain.
Ensuite, je posterai le repport hijackthis de mon autre PC qui est aussi infecté et vous me direz si il suffit de faire la même chose pour règler le problème. Enfin, mes trois clés usb sont infectés.
En tout cas vous m'impressionnez. Bonne soirée

hugoc · Answer

Bonjour, je n'ai pas réussi à faire toutes les mise à jour et le rapport hijackthis était différent. Enfin quand je rencontre une complication, il serait facile pour vous d'y remédier mais moi je me retrouve souvent bloqué donc je vais demander à quelqu'un étant plus qualifié pour mettre en place vos recommandations. Pour le bloc note, j'ai appuyé sur oui mais l'ordi m'a dit que c'est impossible en raison de l'éditeur...voila le rapport otmoveit, j'espère que le virus est supprimé.

Pour les clés USB que dois-je faire? Le virus est ancré dans le logiciel "autorun" et si je les branche à l'ordi ,cela ne va pas le reinfecter?
Je vais faire la même chose pour mon autre PC.
Merci


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder c:\windows\system32\pmkhhif.dll not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\seize\LOCALS~1\Temp\~DF8643.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\seize\LOCALS~1\Temp\~DF86A1.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\seize\LOCALS~1\Temp\~DFCC50.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\seize\LOCALS~1\Temp\~DFCDB4.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_720.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02092009_164758

Files moved on Reboot...
File C:\DOCUME~1\seize\LOCALS~1\Temp\~DF8643.tmp not found!
File C:\DOCUME~1\seize\LOCALS~1\Temp\~DF86A1.tmp not found!
File C:\DOCUME~1\seize\LOCALS~1\Temp\~DFCC50.tmp not found!
File C:\DOCUME~1\seize\LOCALS~1\Temp\~DFCDB4.tmp not found!
File C:\WINDOWS	emp\Perflib_Perfdata_720.dat not found!

jacques.gache · Answer

bonjour, pour tes clés usb utilise flash désinfectore 

Téléchargez Flash_Disinfector de sUBs : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
 
.enregistres le sur le bureau
.branches tous tes lecteurs amovible ( DD externe, clés usb...) ferme toutes tes applications en cour
.N'utilise pas le double-clique  tout le temps que l'infection n'est pas supprimée
.cliques droit et ouvrir
.sur le message qui suit tu cliques sur OK
.laisses le travailler et sur le petit message qui apparrait cliques sur OK

hugoc · Answer

Bonjour, 

Dsl de repondre si tard, j'ai mis beaucoup de temps à mettre en place vos recommandations. J'ai réussi à faire pour mes deux ordinateurs ce que Le souix m'a dit de faire. J'espere que mon virus est supprimmé 
(visiblement il n'y a plus d'alerte de la part de mes antivirus mais il y a quelques fichiers qui me semblent bizarre et que je n'arrive pas à supprimer comme "RECYCLER" ou "System Volume INFORMATION" qui sont en "mi-transparant" et mon ordi me dit quand je n'arrive pas à les supprimer : " ---------------------------
Erreur lors de la suppression du fichier ou du dossier
---------------------------
Impossible de supprimer System Volume Information : Accès refusé.

Vérifiez que le disque n'est pas plein ou protégé en écriture,
et que le fichier n'est pas utilisé actuellement.
---------------------------
OK   
---------------------------"
et il y a aussi le fichier "Thumbs.db" qui est dans beaucoup de mes dossiers mais ce dernier j'arrive à le supprimer), 

voici donc le rapport otmoveit de mon premier ordinateur :  

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder c:\windows\system32\pmkhhif.dll not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\seize\LOCALS~1\Temp\etilqs_6rcVqVqOMHiP4bbWWzyM scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp	mp00006da8	mp00000000 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_718.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02152009_211520

Files moved on Reboot...
File C:\DOCUME~1\seize\LOCALS~1\Temp\etilqs_6rcVqVqOMHiP4bbWWzyM not found!
File C:\WINDOWS	emp	mp00006da8	mp00000000 not found!
File C:\WINDOWS	emp\Perflib_Perfdata_718.dat not found!
C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\seize\Local Settings\Application Data\Mozilla\Firefox\Profiles\ui9ru8iq.default\XUL.mfl moved successfully.


Questions d'ordre générale : Jacques.gache tu m'as dit de garder malwarebytes, est-ce que cela est un antivirus ou il faut que j'ai en parallèle un antivirus sur mon ordi comme trend micro security?
Est-ce utile d'avoir glary utilities sur son ordinateur?

Je vais vous envoyer le rapport otmoveit de mon deuxième PC.

Merci pour votre aide, cela m'a également permis de mieux maitriser l'informatique et de prendre confiance dans ce domaine.
Bonne journée.

jacques.gache · Answer

bonjour, tu nous dis  "RECYCLER" ou "System Volume INFORMATION" qui sont en "mi-transparant" si ils ont cette apparence c'est que tu dois être sur l'affichage des fichiers cachés remet les par défaut , il ne faut pas supprimer ces fichier le premier correspond à ta corbeille et le second à la restauration système
si il t'es signalé des trucs dans ces fichiers pour le premier tu vides la corbielle et pour le second tu purge la restauration système, ou en es tu avec ton problème ???

hugoc · Answer

Bonjour,

Sur mon second ordi, il n'y a pas de fichiers bizarre à l'inverse de mon premier ordi, cela doit s'expliquer par le fait que le virus est apparu sur mon premier ordi et ne s'est pas propagé autant sur mon deuxième PC où il est arrivé simplement par mes clés USB... 
voilà le rapport otmoveit de mon deuxième PC : 

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder c:\windows\system32\pmkhhif.dll not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\LO4752~1\LOCALS~1\Temp\etilqs_qWa3h7Obz5clA9LJeWpz scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_6e4.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02152009_213526

Files moved on Reboot...
File C:\DOCUME~1\LO4752~1\LOCALS~1\Temp\etilqs_qWa3h7Obz5clA9LJeWpz not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_6e4.dat not found!
C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\léo\Local Settings\Application Data\Mozilla\Firefox\Profiles\zubk7h7x.default\XUL.mfl moved successfully.

Question sur un autre sujet : sur mon deuxième ordi, je peux utiliser internet explorer (j'ai même mis à jour la dernière version) mais quand je dois télécharger une page qui s'ouvre avec internet explorer, cela ne fonctionne pas, comment réparer ce disfonctionnement?

Merci d'avance pour votre réponse.
Cordialement

jacques.gache · Answer

RASSURE MOI !! tu n'appliques pas ce qui t'est donné pour le problème d'un pc sur l'autre !!!!!

pour ton pc ou tu as tes fichier en mi-transparant comme tu dis tu les mets par défaut pour cela tu ouvre le poste de travail et puis sur outil , sur options des dossiers,  et puis sur affichage et la tu cliques sur paramètres par défaut et normalement des dossiers en mi-transparant ne devraient plus l'être

hugoc · Answer

Bonjour,

c'est bon c'est réglé pour les fichiers "mi-transparant", mon ordi ne me signalait rien dans ces fichiers pas de prblm.
Peux-tu repondre aux autres questions stp (d'ordre generale)? 
Malheureusement je ne peux te rassurer. Sachant que c'était le même virus sur mon autre ordi, j'ai fait les même manipulations, vu ce que tu m'écris ça à l'air d'être très grave(il me reste beaucoup à apprendre...), visiblement mon second ordi ne manifeste rien de spécial et le virus est parti...Peut-être il faut que je te poste le rapport hijackthis de mon second PC pour que tu vois si il y a un problème et pourquoi les pages de telechargement sur internet explorer ne marchent pas?
Merci pour ta patiente.

Bonne journée

Le sioux · Answer

Bonsoir les gars

On a toujours pas eu de nouveau rapport HijackThis du 1er PC sur lequel la manip RegFix + OTMoveIt3 a été exécutée, ce serait bien d'avoir cela afin de vérifier que tout es OK.

Pour ton second PC, vois avec J Gaches, soi tu continueras ici, une fois le probleme réglé avec le 1er PC, soi il te demandera de créer un autre sujet, mais attention, chaque chose en son temps, un PC à la fois pour éviter de s'embrouiller ;)

Un autre conseil  hugoc, quand tu dé-cache les fichiers et dossiers cachés il faut toujours penser à les re-cacher pour ne pas supprimer un dossier système,  si tu avais supprimer certains fichiers cachés se trouvant à la racine de C, cela aurait donné un plantage total au prochain redémarrage.
Jamais de suppression intempestives au feeling, cela peut couter cher ;)
Pour la manip exact, regarde ici à B) https://forum.pcastuces.com/comment_faire_pour__-f25s3902.htm

Bonne soirée.

jacques.gache · Answer

bonjour, fais comme demande le sioux mets un nouveau hijackthis pour le premier pc , pour le deuxième pc il serait préférable que tu ouvres un autre sujet cela sera plus claire pour tout le monde ;  il faut éviter de faire des manippes qui te sont donné pour une infection sur un pc sur un autre car il n'est pas sur que tu es exactement la même infections et si celle ci n'a pas été identifier l'outil utilisé peut être obsolette ou ne pas fonctioné voir bloquer , mais bon la si tu n'as pas eu de problème évite de le faire la prochaine fois demande avant , mais bon c'est tes pc tu fais comme tu veux

hugoc · Answer

Bonsoir,

Merci pour les conseils je ne referai pas ces erreurs.

Petite question : comment supprimer windows genuine qui me dit que j'ai une contrefaçon de logiciel?

Voici mon rapport hijackthis : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:04, on 17/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.blackle.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: c:\windows\system32\pmkhhif.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

jacques.gache · Answer

bonjour, consernant ta version windows tu vas me dire qu'elle est légale, pourtant windows genuine te dit le contraire , pour supprimer ce genuine à par la réinstallation et les non mises à jour pour éviter qu'il se réinstalle dans ton pc je ne vois pas vraiment mais si ta version est vraiment légal c'est bizare qu'il te dise le contraire , bref la tu passe toolbarS&D , Merci

Télécharge ToolBar-S&D ( Merci à Eric_71, Angeldark, Sham_Rock et XmichouX )
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

Lances l'installation du programme en exécutant le fichier téléchargé. 
Double-clique maintenant sur le raccourci de Toolbar-S&D. 
Sélectionnes la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
Postes le rapport généré. (C:\TB.txt) 

Suppression 

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". 
! Ne ferme pas la fenêtre lors de la suppression ! 
Un rapport sera généré, poste son contenu ici. 

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." 
Tape explorer puis valide. 



 Aide en images: https://sites.google.com/site/toolbarsd/aideenimages

hugoc · Answer

Rapport toolBar:


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.60GHz )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : seize ( Administrator )
   BOOT : Normal boot
   Antivirus : BitDefender Antivirus 12.0 (Activated)
   C:\ (Local Disk) - NTFS - Total:19 Go (Free:2 Go)
   D:\ (Local Disk) - NTFS - Total:76 Go (Free:28 Go)
   E:\ (Local Disk) - NTFS - Total:18 Go (Free:1 Go)
   F:\ (CD or DVD)
   G:\ (CD or DVD)
   H:\ (CD or DVD)
   K:\ (USB) - FAT - Total:484 Mo (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [1] ( 17/02/2009|22:58 )

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\AskBarDis
   C:\Program Files\AskBarDis\bar
   C:\Program Files\AskBarDis\unins000.dat
   C:\Program Files\AskBarDis\unins000.exe
   C:\Program Files\AskBarDis\bar\bin
   C:\Program Files\AskBarDis\bar\Cache
   C:\Program Files\AskBarDis\bar\History
   C:\Program Files\AskBarDis\bar\Settings
   C:\Program Files\AskBarDis\bar\bin\askBar.dll
   C:\Program Files\AskBarDis\bar\bin\askPopStp.dll
   C:\Program Files\AskBarDis\bar\bin\psvince.dll
   C:\Program Files\AskBarDis\bar\Cache\0069D571
   C:\Program Files\AskBarDis\bar\Cache\0069DAE0
   C:\Program Files\AskBarDis\bar\Cache\0069DCC4.bin
   C:\Program Files\AskBarDis\bar\Cache\0069DED8.bin
   C:\Program Files\AskBarDis\bar\Cache\0069E168.bin
   C:\Program Files\AskBarDis\bar\Cache\0069E2CF.bin
   C:\Program Files\AskBarDis\bar\Cache\0069E475.bin
   C:\Program Files\AskBarDis\bar\Cache\0069E5DD.bin
   C:\Program Files\AskBarDis\bar\Cache\0069E754.bin
   C:\Program Files\AskBarDis\bar\Cache\0069E957.bin
   C:\Program Files\AskBarDis\bar\Cache\0069EB4B.bin
   C:\Program Files\AskBarDis\bar\Cache\0069ED4F.bin
   C:\Program Files\AskBarDis\bar\Cache\files.ini
   C:\Program Files\AskBarDis\bar\History\search
   C:\Program Files\AskBarDis\bar\Settings\config.dat
   C:\Program Files\AskBarDis\bar\Settings\config.dat.bak
   C:\Program Files\AskBarDis\bar\Settings\prevcfg.htm
   C:\Program Files\AskBarDis\bar\Settings\prevCfg2.htm

   -----------\  Extensions

   (All Users.WINDOWS) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

   (seize) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (seize) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://www.blackle.com/"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 17/02/2009|23:00 - Option : [1]

   -----------\  Fin du rapport a 23:00:11,48

hugoc · Answer

rapport toolbar 2 : 


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.60GHz )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : seize ( Administrator )
   BOOT : Normal boot
   Antivirus : BitDefender Antivirus 12.0 (Activated)
   C:\ (Local Disk) - NTFS - Total:19 Go (Free:2 Go)
   D:\ (Local Disk) - NTFS - Total:76 Go (Free:28 Go)
   E:\ (Local Disk) - NTFS - Total:18 Go (Free:1 Go)
   F:\ (CD or DVD)
   G:\ (CD or DVD)
   H:\ (CD or DVD)
   K:\ (USB) - FAT - Total:484 Mo (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 17/02/2009|23:03 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\AskBarDis\bar
   Supprime! - C:\Program Files\AskBarDis\unins000.dat
   Supprime! - C:\Program Files\AskBarDis\unins000.exe
   Supprime! - C:\Program Files\AskBarDis

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (All Users.WINDOWS) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

   (seize) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (seize) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://www.blackle.com/"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 17/02/2009|23:00 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 17/02/2009|23:05 - Option : [2]

   -----------\  Fin du rapport a 23:05:14,98

jacques.gache · Answer

normalement pour moi c'est bon

hugoc · Answer

L'onglet en bas à droite "vous êtes peut-être victime d'une contre façon de logiciel n'est toujours pas partie" et les désavantages qui s'en suit non plus( comme ne pas pouvoir mettre de fond d'écran...).
J'avais essayé avec le logiciel "remove WGA" mais ça ne marche que pour quelques heures...alors il faut tout réinstaller ?  je ne sais pas faire...
Y-a-t-il une autre solution?

jacques.gache · Answer

et ta licence windows elle est vraiment légale ?????

hugoc · Answer

J'viens de demander et non elle n'est pas légale mais pour autant il n'est pas possible de desactiver genuine? Je comprends ta position si tu es contre le piratage...

Le sioux · Answer

Bonjour vous 2

Une suppression des outils utilisés, une purge de la restauration système suivis de quelques conseils seraient sans doute les bienvenues pour tenter d'éviter une récidive ...  ;)

Salut.

PS http://assiste.com.free.fr/...

jacques.gache · Answer

Le sioux bonjour, oui tu as raison mais comme recommandation première que je pourrais lui donner est de prendre une licence windows légale , normalement sur une licence pirate je n'aide pas puisque j'estime qui si ils sont assé grand pour faire du piratage il doivent être assé grand pour en assumer les conséquences

Le sioux · Answer

Salut Jacques gache

Tu n'as pas tort dans son cas ;)

Salut.