Interprétation Hijackthis [Résolu/Fermé]

Signaler
-
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
-
Bonjour,

Comme il me semble que mon pc ait un pb,j'ai fait un log Hijackthis.Mais je ne sais pas l'interpréter.Quelqu'un pourrait-il m'aider,SVP??

90 réponses

Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Postes le deja ca aidera pour te donner un coup de main
Bonjour Loloetseb,et merci de ton aide.Je vais donc lte le poster,puisque tu le demandes si gentiment..
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:03:57, on 26/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\VTTimer.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Users\wauquier\Desktop\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58B3BB50-8512-45BE-88CD-E97EE0FA3696}: NameServer = 81.253.149.9 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{58B3BB50-8512-45BE-88CD-E97EE0FA3696}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Users\wauquier\Desktop\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Tu as un detournement de Dns quelqu'un se sert de ton pc a distance pour faire des choses malveillante.Je te donne la procedure a suivre
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
( sous Vista , bien désactiver l 'UAC avant )



1/ Télécharger Smitfraudfix par S!RI :


http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Tutorial ici

http://www.malekal.com/tutorial_SmitFraudfix.php


* ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
* Décompresser l'archive sur le bureau .
* Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône / " Exécuter entant qu'administrateur ... ")
* Appuyer sur une touche pour continuer .
* Arriver à l'invite de commande, saisir la lettre f afin de basculer le fix en langue française
* Au menu, choisir l’option 5 :Recherche et suppression détournement DNS
* Laisser travailler l'outil .
* Une fois terminer, un rapport est sauvegardé sur le PC ici > C:\Rapport.txt



2/ Télécharge Malwarebytes’ Anti-Malware

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware
- Enregistres le sur le bureau
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, met à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-cliques sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Cliques sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
- Rends toi dans l’onglet rapport/log
- Tu cliques dessus pour l’afficher une fois affiché
- Tu cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu cliques droit dans le cadre de la réponse et coller

Si tu as besoin d’aide regarde ce tutorial

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Qu'est-ce que c'est que çà??Jamais entendu parler.Comment peut-on détourner un PC à distance??
J'ajoute que j'ai Malwarebytes anti-malware et qu'il ne m'a rien trouvé..
Par contre je n'avais pas désactiver l'UAC,car je ne sais pas comment faire.Peux-tu m'expliquer??Suis pas très calée en informatique et très perdue!!
Voici le scan Toolscleaner.
Je n'ose pas utiliser les options facultatives.J'ai peur de faire une bêtise..
Je n'arrive plus à faire le copié-collé...
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Vas dans "Démarrer" puis Panneau de configuration.
- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
- Clique sur Continuer.
- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
- Valide par OK et redémarre.

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517


Tu as du charger (involontairement un logiciel malveillant),ton ordinateur devait ramer,non? Les lignes infectées sont celles ci

O17 - HKLM\System\CCS\Services\Tcpip\..\{58B3BB50-8512-45BE-88CD-E97EE0FA3696}: NameServer = 81.253.149.9 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{58B3BB50-8512-45BE-88CD-E97EE0FA3696}: NameServer = 81.253.149.9 80.10.246.132

Tu peux faire la procedure,cela reglera le probleme et postes moi les rapports demandés pour controle
Oui en effet mon PC rame en effet depuis quelques jours.Comme logiciel,j'ai téléchargé sur le conseil d'un de vos membres,FLVCONVERTER pour pouvoir écouter de la musique sur Youtube et la télécharger.Sinon je ne vois pas.
Je n'arrive pas à télécharger Smithfraud Fix.Même en désactivant l'UAC,l'anti-virus Antivir et le pare-feu ,l'écran devient fou et clignote sans arrêt,et je suis obligée de redémarrer pour pouvoir avoir un écran normal.
Que faire???
Merci de ton aide..
> catimarie
J'ai enfin réussi à télécharger Smithfraudfix en passant par un autre lien.Et voici le rapport:
SmitFraudFix v2.396

Rapport fait à 21:12:06,39, 16/02/2009
Executé à partir de C:\Windows\system32\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: VIA Rhine II Fast Ethernet Adapter
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{62182382-40C5-47A6-AFC4-117C7E69D660}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{62182382-40C5-47A6-AFC4-117C7E69D660}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{62182382-40C5-47A6-AFC4-117C7E69D660}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: VIA Rhine II Fast Ethernet Adapter
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{62182382-40C5-47A6-AFC4-117C7E69D660}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{62182382-40C5-47A6-AFC4-117C7E69D660}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{62182382-40C5-47A6-AFC4-117C7E69D660}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Ok fais le scan complet Malwarebytes et postes moi le rapport
Voici le rapport Malwarebytes:
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1766
Windows 6.0.6001 Service Pack 1

16/02/2009 23:45:54
mbam-log-2009-02-16 (23-45-54).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 144878
Temps écoulé: 1 hour(s), 11 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Cà a l'air bien,non??
Merci pour ton aide.
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
1)Télécharge Lop S&D (de Angeldark et Eric71) sur le Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

.Double-cliques sur Lop S&D.exe pour lancer l'installation,
.Puis double-cliques sur le raccourci Lop S&D présent sur le Bureau.
.Séléctionnes la langue souhaitée , puis choisis l'Option 1 (Recherche)
Le scan prend moins d'une minute.
.A l'issue du scan, le bloc-notes va s'ouvrir avec le résultat de la recherche.
.Enregistres le rapport LopR.txt sur le Bureau pour le retrouver facilement, sinon il est sauvegardé à la racine de la partition système : C:\LopR.txt

TUTO: http://bibou0007.com/outils-specifiques-f78/tutorial-lop-sd-t956.htm#11431


Non c'est pas fini.Tu es de belgique?
Celà fait au moins 8 minutes que la recherche se fait.Aucun résultat..sauf que
On me dit:
un utilitaire QGREP de recherche de chaînes de caractères a cessé de fonctionner.Il y a un pb qui fait que le programmea cessé.Windows va fermer ce programme et vous indiquer si une solution est disponible.
LopSED semble figé..
Et non je ne suis pas de Belgique.Pourquoi??
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Y'a un truc bizarre sur ces deux lignes

O17 - HKLM\System\CCS\Services\Tcpip\..\{58B3BB50-8512-45BE-88CD-E97EE0FA3696}: NameServer = 81.253.149.9 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{58B3BB50-8512-45BE-88CD-E97EE0FA3696}: NameServer = 81.253.149.9 80.10.246.132

Ton ordinateur passe par un serveur qui demarre par 81----- d'ou l'idée de detournement de Dns,mais à priori Smitfraudfix indique que non.Donc la question est tu à l'etranger?

La seconde possibilité est une infection Lop.Si le programme plante cela peut venir de l'infection lop

Salut loloetseb!

Apparemment, les lignes 017 sont ok et viennent de France.

Pour LOP, tu as sans doute zappé le fait que tu es face à Vista.

Bonne suite.
Coucou Loloetseb et ric 025
Non non je ne suis pas à l'étranger mais en France.
Depuis 0h17 LopSD cherche les infections...
Tu m'avais dit que le scan ne durait qu'une minute..
J'ai un peu peur du résultat..
Mais merci à vous de m'aider..
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Salut Ric025,

Je suis d'accord avec toi pour le Dns (apres la procedure smitfraudfix),par contre il n'y a pas plus d'obligation d'avoir des lignes en 017 legitimes sous vista que sous XP.Vista travaille 01 Hosts
Excusez-moi mais je suis exténuée et si çà ne vous embête pas,je reviens vous voir demain..
car là je ne vois plus très bien ce que j'écris.Bonne nuit à vous et à demain,...si vous le voulez bien...
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Arrettes lop SD,supprimes le logiciel et retelecharges le.Puis refais la procedure,stp
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
D'accord a demain en fin de journée,je vais me coucher aussi.Bonne nuit
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Bon je vais me coucher,je suppose ric025 que tu voulais dire pour lop qu'elle doit l'executer en tant qu'administrateur.Désolé de pas avoir compris (fatigue).Bon,je vais me coucher.
Bonjour à tous,
Depuis ce matin j'essaie de faire un scan LopSD,que m'as demandé loloetseb hier.
Impossible.J'ai pourtant désactiver L'UAC,l'anti-virus et le pare-feu.Impossible.D'ailleurs il est encore en cours.Dois-je l'arrêter??D'autant que j'ai l'impression qu'il refait souvent la même recherche..
Quelqu'un pourrait-il m'aider,SVP??

Salut Catimarie!

Fais ceci stp:

Nettoyage des outils:

Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau:

Toolscleaner

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

====================


Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur RSIT.exe.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

A noter: Les rapports se trouvent également ici: C:\rsit.

/!\ Poste les deux rapports (log + info) dans deux messages séparés, merci /!
\
Coucou Ric025,contente de te retrouver...
Je présume qu'il me faut arrêter LopSD?
Dois-je aussi désactiver l'UAC,l'anti-virus et le pare-feu pour télécharger ce que tu me demandes à savoir,
Toolscleaner et
Randoms'System Information tools??
Pour Hijackthis,je l'ai déjà.Dois-je refaire le scan??
Merci de ton aide très précieuse..
Voici le log Info.txt
info.txt logfile of random's system information tool 1.05 2009-02-17 18:17:43

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
AVG Anti-Spyware 7.5-->C:\Users\wauquier\Desktop\AVG Anti-Spyware 7.5\Uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Calendrier Xtra v9.006-->"C:\Program Files\Calendrier\unins000.exe"
Caplio Software-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5BC1F10D-6A7A-41AE-AC7C-6BD454204729}\Setup.exe" -l0x40c anything
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Complément Microsoft Word pour Microsoft Works Suite-->MsiExec.exe /I{7054ED85-498D-4D20-906F-14646AEC5581}
DeepBurner v1.8.0.224-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log"
eMule-->"C:\Users\wauquier\eMule\Uninstall.exe"
Encyclopédie Microsoft Encarta 2004-->MsiExec.exe /I{04460044-9149-45C6-A806-F2BF9CFCE762}
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Extension Système de Microsoft Money-->MsiExec.exe /I{8C64E149-54BA-11D6-91B1-00500462BE80}
Free FLV Converter V 6.1.0-->"C:\Program Files\Free FLV Converter\unins000.exe"
Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{904CCF62-818D-4675-BC76-D37EB399F917}
getPlus(R) for Adobe-->"C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
ImgBurn (Remove Only)-->"C:\Program Files\ImgBurn\uninstall.exe"
IZArc 3.81-->"C:\Program Files\IZArc\unins000.exe"
K-Lite Codec Pack 3.3.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Kplan 1.998-->"C:\Program Files\metagenia\kplan\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft AutoRoute v11.0-->MsiExec.exe /I{8704D51E-25B7-4F23-81E7-AA4F54790220}
Microsoft GIF Animator-->C:\Program Files\Microsoft GIF Animator\setup\GifACME.exe
Microsoft Money-->MsiExec.exe /I{1D643CD2-4DD6-11D7-A4E0-000874180BB3}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Picture It! Photo Premium 9-->C:\Windows\system32\msiexec.exe /i {DBA8B9E1-C6FF-4624-9598-73D3B41A0903}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Word 2002-->MsiExec.exe /I{911B040C-6000-11D3-8CFE-0050048383C9}
Microsoft Works-->MsiExec.exe /I{E6BAE954-487E-488B-BC4E-2E69E54E8117}
Mise à jour du pilote du Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{E7044E25-3038-4A76-9064-344AC038043E}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Navilog1 3.4.2-->"C:\Program Files\Navilog1\unins000.exe"
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
S3 S3Display-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Display'
S3 S3Gamma2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Gamma2'
S3 S3Info2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Info2'
S3 S3Overlay-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Overlay'
Sélecteur d'installation de Microsoft Works 2004-->C:\Program Files\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP D:\
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
Spybot - Search & Destroy 1.5.2.20-->"C:\Windows\unins000.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins001.exe"
UniChrome Series Driver and Utilities-->VTsetvga.exe -s -rRundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\Windows\system32\hgk001i.inf
VIA Rhine-Family Fast-Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA

=====HijackThis Backups=====

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)

======Security center information======

AS: Avira AntiVir PersonalEdition
AS: AVG Anti-Spyware (disabled) (outdated)
AS: Windows Defender (disabled)

System event log

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : arrêté.
Record Number: 103514
Source Name: Service Control Manager
Time Written: 20090217143424.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : en cours d'exécution.
Record Number: 103515
Source Name: Service Control Manager
Time Written: 20090217155658.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : arrêté.
Record Number: 103516
Source Name: Service Control Manager
Time Written: 20090217161328.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : en cours d'exécution.
Record Number: 103517
Source Name: Service Control Manager
Time Written: 20090217170102.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : arrêté.
Record Number: 103518
Source Name: Service Control Manager
Time Written: 20090217171733.000000-000
Event Type: Information
User:

Application event log

Computer Name: PC-de-wauquier
Event Code: 1001
Message: Récipient d’erreurs 638739996, type 1
Événement : APPCRASH
Réponse : Aucun
ID de CAB : 0

Signature du problème :
P1 : findstr.exe
P2 : 6.0.6001.18000
P3 : 47918ac0
P4 : findstr.exe
P5 : 6.0.6001.18000
P6 : 47918ac0
P7 : c0000005
P8 : 0000465d
P9 :
P10 :

Fichiers joints :
C:\Users\wauquier\AppData\Local\Temp\WERD602.tmp.version.txt

Ces fichiers sont peut-être disponibles ici :
C:\Users\wauquier\AppData\Local\Microsoft\Windows\WER\ReportArchive\Report0ad5e9e7
Record Number: 24612
Source Name: Windows Error Reporting
Time Written: 20090217164735.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1000
Message: Application défaillante findstr.exe, version 6.0.6001.18000, horodatage 0x47918ac0, module défaillant findstr.exe, version 6.0.6001.18000, horodatage 0x47918ac0, code d’exception 0xc0000005, décalage d’erreur 0x0000465d, ID du processus 0xe9c, heure de début de l’application 0x01c9911f6f40129f.
Record Number: 24613
Source Name: Application Error
Time Written: 20090217165253.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-wauquier
Event Code: 1001
Message: Récipient d’erreurs 638739996, type 1
Événement : APPCRASH
Réponse : Aucun
ID de CAB : 0

Signature du problème :
P1 : findstr.exe
P2 : 6.0.6001.18000
P3 : 47918ac0
P4 : findstr.exe
P5 : 6.0.6001.18000
P6 : 47918ac0
P7 : c0000005
P8 : 0000465d
P9 :
P10 :

Fichiers joints :
C:\Users\wauquier\AppData\Local\Temp\WERC56F.tmp.version.txt

Ces fichiers sont peut-être disponibles ici :
C:\Users\wauquier\AppData\Local\Microsoft\Windows\WER\ReportArchive\Report0de6d0f8
Record Number: 24614
Source Name: Windows Error Reporting
Time Written: 20090217165256.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1000
Message: Application défaillante findstr.exe, version 6.0.6001.18000, horodatage 0x47918ac0, module défaillant findstr.exe, version 6.0.6001.18000, horodatage 0x47918ac0, code d’exception 0xc0000005, décalage d’erreur 0x0000465d, ID du processus 0xb08, heure de début de l’application 0x01c991202eb83585.
Record Number: 24615
Source Name: Application Error
Time Written: 20090217165811.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-wauquier
Event Code: 1001
Message: Récipient d’erreurs 638739996, type 1
Événement : APPCRASH
Réponse : Aucun
ID de CAB : 0

Signature du problème :
P1 : findstr.exe
P2 : 6.0.6001.18000
P3 : 47918ac0
P4 : findstr.exe
P5 : 6.0.6001.18000
P6 : 47918ac0
P7 : c0000005
P8 : 0000465d
P9 :
P10 :

Fichiers joints :
C:\Users\wauquier\AppData\Local\Temp\WER9E96.tmp.version.txt

Ces fichiers sont peut-être disponibles ici :
C:\Users\wauquier\AppData\Local\Microsoft\Windows\WER\ReportArchive\Report0f6bd1cb
Record Number: 24616
Source Name: Windows Error Reporting
Time Written: 20090217165824.000000-000
Event Type: Information
User:

Security event log

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-19
Nom du compte : SERVICE LOCAL
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e5
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x234
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 27111
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080615142010.468750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-19
Nom du compte : SERVICE LOCAL
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e5

Privilèges : SeAssignPrimaryTokenPrivilege
SeAuditPrivilege
SeImpersonatePrivilege
Record Number: 27112
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080615142010.468750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x234
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 27113
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080615142010.609375-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x234
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 27114
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080615142010.609375-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 27115
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080615142010.609375-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1

-----------------EOF-----------------

Alors. Tu peux arrêter Lop, oui.

Ensuite, laisse l'UAC désactivé le temps de la désinfection. Tu peux également laisser tes protections en pause, pas de risque.

Pour RSIT, il intègre Hijackthis, donc, lance RSIT seulement, ne t'occupe pas de Hijack.

A++
Ric025,
Voici le rapport Toolscleaner demandé.
Coucou Loloetseb,contente de te retrouver aussi!!
[ Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\fixnavi.txt: trouvé !
C:\lopR.txt: trouvé !
C:\Lop SD: trouvé !
C:\Rustbfix: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Navilog1: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navilog1: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navilog1\Navilog1.lnk: trouvé !
C:\Rustbfix\avenger.exe: trouvé !
C:\Rustbfix\pelog.txt: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\Navilog1: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Navilog1: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Navilog1\Navilog1.lnk: trouvé !
C:\Users\wauquier\hijackthis.log: trouvé !
C:\Users\wauquier\*.msnfix: trouvé !
C:\Users\wauquier\GenProc: trouvé !
C:\Users\wauquier\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
C:\Users\wauquier\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\wauquier\AppData\Roaming\Microsoft\Windows\Recent\HijackThis.lnk: trouvé !
C:\Users\wauquier\Desktop\MsnFix: trouvé !
C:\Users\wauquier\Desktop\SmitFraudfix: trouvé !
C:\Users\wauquier\Downloads\LopSD.exe: trouvé !
C:\Users\wauquier\Downloads\Msnfix.zip: trouvé !
C:\Users\wauquier\Downloads\SmitFraudFix.exe: trouvé !
C:\Users\wauquier\Downloads\SmitFraudfix: trouvé !
C:\Windows\msnfix.txt: trouvé !
C:\Windows\System32\*.msnfix: trouvé !
C:\Windows\System32\SmitFraudfix: trouvé !
Ric025,voici le log RSIT.
Il est très long..
Logfile of random's system information tool 1.05 (written by random/random)
Run by wauquier at 2009-02-17 18:17:09
Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
System drive C: has 14 GB (37%) free of 39 GB
Total RAM: 703 MB (34% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:36, on 17/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\VTTimer.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Users\wauquier\Desktop\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Users\wauquier\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LG3HSMOS\RSIT[1].exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\wauquier.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail?kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Users\wauquier\Desktop\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Users\wauquier\Desktop\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Salut ri025,salut Cattimarie
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Tu es entre de bonnes mains avec Ric025,je dois partir ce soir,je rentrerais vers 23h mais Ric025 est la
Merci loloetseb,et bonne soirée.
Je ne doute pas d'être dans de bonnes mains avec ric025.
> catimarie
Coucou ric025,
Tu as disparu??
Je sais que nous sommes nombreux à avoir des pb.Et c'est bien gentil de nous aider...
Mais je faisais juste remonter...
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Je reviendrais vers 23 h pour te donner la procédure si Ric025 a un empêchement ou trop occupé.He oui on a une vie à coté et nous sommes bénévoles.
C'est tout à votre honneur,et heureusement qu'il y a des gens comme vous qui dépannez.Mais il faut vraiment aimer çà...et s'y entendre en informatique..

Re! Désolé du contre-temps!

Fais ceci pour vérifier:

Avec l'UAC désactivé.

Ad-Remover (par Cyril du 17 / C_XX):

Télécharge et enregistre le fichier d'installation sur ton bureau :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

Double clique sur le programme d'installation , et installe-le dans son emplacement par défaut. ( le bureau )

Ouvre le dossier Ad-remover qui vient d'apparaître sur ton bureau par double-clic

Au menu principal tape "A" puis "Entrée" pour valider.

Patiente le temps du scan. A la fin, il te demandera de presser sur une touche pour faire apparaître le rapport. Fais-le.

Poste le dans ta prochaine réponse par copié/collé.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Voici le scan Ad-Remover:

------- LOGFILE OF AD-REMOVER 1.1.1.3 | ONLY XP/VISTA -------

Updated by C_XX on 15/02/2009 at 10:20

Start at: 22:25:29 | Tue 17/02/2009 | Boot mode: Normal Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\bureau\Ad-remover.bat
Operating System: Microsoft® Windows Vista™ Home Basic Service Pack 1 (version 6.0.6001)
Computer Name: PC-DE-WAUQUIER
Current User: wauquier - Administrator
Drive(s):
- C:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\Windows\
System Directory: C:\Windows\System32\

--- Running Processes: 62
--- User Account Control is DISABLE

+-----------------| Boonty/Boonty Games Elements Found:

.
.

+-----------------| Eorezo Elements Found:

.

+-----------------| Infected Poker Softwares Elements Found:

.

+-----------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements Found:

.
HKCU\Software\AppDataLow\software\MyWebSearch
HKU\S-1-5-21-2226842634-731092497-1096011143-1000\Software\Appdatalow\Software\Fun Web Products
HKU\S-1-5-21-2226842634-731092497-1096011143-1000\Software\Appdatalow\Software\MyWebSearch
.
C:\Users\wauquier\Appdata\LocalLow\MyWebSearch
C:\Users\wauquier\Appdata\LocalLow\MyWebSearch\bar
C:\Users\wauquier\Appdata\LocalLow\MyWebSearch\bar\Cache
C:\Users\wauquier\Appdata\LocalLow\MyWebSearch\bar\History
C:\Users\wauquier\Appdata\LocalLow\MyWebSearch\bar\Message
C:\Users\wauquier\Appdata\LocalLow\MyWebSearch\bar\Settings
C:\Users\wauquier\Appdata\LocalLow\MyWebSearch\bar\Message\COMMON
C:\Users\wauquier\Appdata\LocalLow\FunWebProducts
C:\Users\wauquier\Appdata\LocalLow\FunWebProducts\Installr
C:\Users\wauquier\Appdata\LocalLow\FunWebProducts\ScreenSaver
C:\Users\wauquier\Appdata\LocalLow\FunWebProducts\Shared
C:\Users\wauquier\Appdata\LocalLow\FunWebProducts\Installr\Cache
C:\Users\wauquier\Appdata\LocalLow\FunWebProducts\ScreenSaver\Images
C:\Users\wauquier\Appdata\LocalLow\FunWebProducts\Shared\Cache

+-----------------| It's TV Elements Found:

.

+-----------------| Sweetim Elements Found:

.

+-----------------| Added Scan:

---- Internet Explorer Version 7.0.6001.18000 ----

+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search bar: hxxp://search.ke.voila.fr/S/voila?kw=
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

+-[HKEY_USERS\S-1-5-21-2226842634-731092497-1096011143-1000\..\Internet Explorer\Main]

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search bar: hxxp://search.ke.voila.fr/S/voila?kw=
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

+---------------------------------------------------------------------------+

[~3541 Bytes] - "C:\Ad-Report-Scan-17.02.2009.log"
-

End at: 22:27:30 | 17/02/2009
.
+-----------------| E.O.F - 66 Lines
.
Voici le dernier scan Ad-Remover:

------- LOGFILE OF AD-REMOVER 1.1.1.3 | ONLY XP/VISTA -------

Updated by C_XX on 15/02/2009 at 10:20

*** LIMITED TO ***

FunWebProduct/MyWay/MyWebSearch

******************

Start at: 22:48:48 | Tue 17/02/2009 | Boot mode: Normal Boot
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\bureau\Ad-remover.bat
Operating System: Microsoft® Windows Vista™ Home Basic Service Pack 1 (version 6.0.6001)
Computer Name: PC-DE-WAUQUIER
Current User: wauquier - Administrator
Drive(s):
- C:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\Windows\
System Directory: C:\Windows\System32\

--- Running Processes: 51
--- User Account Control is DISABLE

(!) ---- IE start pages/Tabs reset

+-----------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements Deleted :

.
HKCU\Software\AppDataLow\software\MyWebSearch
HKU\S-1-5-21-2226842634-731092497-1096011143-1000\Software\Appdatalow\Software\Fun Web Products
.
C:\Users\wauquier\Appdata\LocalLow\MyWebSearch
C:\Users\wauquier\Appdata\LocalLow\FunWebProducts

(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.


+-----------------| Added Scan :

---- Internet Explorer Version 7.0.6001.18000 ----

+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+-[HKEY_USERS\S-1-5-21-2226842634-731092497-1096011143-1000\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://fr.msn.com/

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

+---------------------------------------------------------------------------+

[~2931 Bytes] - "C:\Ad-Report-Clean-17.02.2009.log"
[~3673 Bytes] - "C:\Ad-Report-Scan-17.02.2009.log"
-

End at: 22:50:46 | 17/02/2009
.
+-----------------| E.O.F - 53 Lines
.

Est-ce que maintenant tout va aller mieux??
> catimarie
çà ne doit pas être terminé,car depuis tout à l'heure,la page d'accueil est détournée régulièrement,ce que j'expliquais sur un autre post,où l'on me disait que c'est moi qui choisit cette page.D'habitude oui,mais là après orange qui apparaissait au lieu de google,je viens d'avoir MSN Home.Or je ne vais jamais sur MSN.Etrange!!Je ne comprends pas tout,mais je vois bien que mon PC rame toujours un peu.Par exemple,je n'arrive pas à faire les MAJ de Spybot SD,et AVG anti-spyware,qui étaient installés précedemment.Pourquoi??Y-a-t-il un rapport avec le problème évoqué au dessus,à ton avis??
> catimarie
Ric025,si tu pouvais me donner la procédure à suivre,je la ferai demain.Promis,mais là je suis morte de fatigue.
Bonne nuit et à demain j'espère et encore mille mercis....
Utilisateur anonyme > catimarie
Re! Faudrait penser à tourner la page. ;)

Ok! Pas mal!

! Déconnecte-toi et ferme toute application en cours !

Relance "Ad-remover" : au menu principal choisis l'option "B" .

Coche à l'écran de sélection :



4. Suppression Funwebproduct/MyWay/MyWebsearch




Tape le chiffre correspondant à la suppression demandée et valide par ENTREE pour le cocher.

Puis choisis "S" , le programme va travailler,

Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

/!\ Si le Bureau ne réapparait pas presse Ctrl +Alt +Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide