Rootkit

sev -  
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour, j'ai l'anti virus securite internet 2009 et un message s'affiche : decouvert : cheval de troie rootkit.win 32.podnuha.cen fichier:c:/windows/system32/catsrvu.dll
j'ai desintallé ts les derniers programmes mis sur mon ordi mais je n'arrive pas à supprimer directement catsrvu.dll ds le fichier system32:acces refusé
je ne suis pas une experte mais aidez-moi svp car j'ai peur d'aller consulter ma banque ou de faire des achats sur internet
quel est le risque avec ce genre de fichier?
merci d'avance
sev
Configuration: Windows XP Internet Explorer 7.0

30 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est un message d’alerte d’antivirus Securite Internet 2009 signalant un cheval de Troie rootkit.win32.podnuha.cen et le fichier c:/windows/system32/catsrvu.dll, avec un accès refusé pour supprimer ce dernier. Des propositions proposent des outils et procédures de désinfection comme CCleaner, HijackThis et Gmer, accompagnés de nettoyages du registre et de rapports système pour évaluer l'infection et prévenir les risques lors de paiements en ligne. Des étapes d'analyse et de nettoyage apparaissent, avec des liens vers des outils tels que WinSoftware.bfu, HijackThis et GMER, visant à générer des rapports et à identifier les éléments malveillants avant suppression. En cas de doute, il est recommandé d'éviter toute opération bancaire en ligne jusqu'à une éradication effective des menaces et une vérification des rapports de désinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonsoir,

    Pour commencer : faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

    Ensuite :

    Télécharge le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Renomme Hijackthis en Tutu

    Double-clique sur HJTInstall.exe (tutu) pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la licence en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    Tutoriaux (ne fixe rien pour le moment !!)

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    0
  2. sev
     
    bonsoir
    merci pour ta reponse
    j'ai deja utiliser ccleaner mais tout simplement et il n'a rien diagnostiqué
    c'est un peu difficile de tout comprendre ds ta reponse mais je vais essayer
    que veut dire tuto et tutu?
    c'est la premiere fois que je suis confrontée à un tel pb alors je ne maitrise pas grandchose
    encore merci
    sev
    0
  3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Tuto= tutorielle pour savoir comment installer et se servir du logiciel en question, ensuite tutu est un nom comme ça j'aurais mettre tartenpion ou autre.
    0
    1. sev
       
      besoin d'aide pimprenelle
      merci
      0
      1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > sev
         
        qu'est ce qu'il y a?
        0
  4. sev
     
    merci bcp pimprenelle
    je suis en train d'installer ccleaner et je vais suivre à la lettre tes instructions en esperant que tt fonctionnera du premier coup
    sinon à bientot
    bonne soiree
    et encore merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sev
     
    voici mon rapLogfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:12:22, on 15/05/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\apps\ABoard\ABoard.exe
    C:\apps\ABoard\AOSD.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\APPS\OD2\OD2DLEngine.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
    C:\APPS\OD2\OD2State.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis en tutu\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: (no name) - {4B3F9085-BF43-413A-9800-5D96257BC5C4} - C:\WINDOWS\system32\catsrvu.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [DOWNLOAD MANAGER] C:\APPS\OD2\OD2DLEngine.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Micro Application\Securite Internet 2009\avp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Micro Application\Securite Internet 2009\ie_banner_deny.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Micro Application\Securite Internet 2009\SCIEPlgn.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O15 - Trusted Zone: *.od2.com
    O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/download/2006/cab/SystemDoctor2006FreeInstall_fr.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\MICROA~1\SECURI~1\adialhk.dll
    O20 - Winlogon Notify: __c0013190 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0022BA9 - C:\WINDOWS\
    O20 - Winlogon Notify: __c003D475 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0044768 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0046B69 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0052411 - C:\WINDOWS\
    O20 - Winlogon Notify: __c005DC5B - C:\WINDOWS\
    O20 - Winlogon Notify: __c005EB04 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0076840 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00789E6 - C:\WINDOWS\
    O20 - Winlogon Notify: __c007E43 - C:\WINDOWS\
    O20 - Winlogon Notify: __c008926 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0091A10 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0091FC4 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0098FA6 - C:\WINDOWS\
    O20 - Winlogon Notify: __c009E464 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00A1A10 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00A2E80 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00A7B60 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00B3768 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00B93F9 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00C7061 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00CA9BE - C:\WINDOWS\
    O20 - Winlogon Notify: __c00CC1 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00CEA0 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E0DF1 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E2128 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E3F26 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E4256 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E9A12 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F6041 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F68DB - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F6F5 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F86F5 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F9D30 - C:\WINDOWS\
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: Securite Internet 2009 (AVP) - Micro Application - C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  7. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Utilise tu Boonty Games?

    ensuite fais moi ceci :

    Télécharger GMER ( http://www2.gmer.net/gmer.zip )
    Extraire le contenu du ZIP puis renommer "gmer.exe" en "bypass.exe"
    Onglet "Rootkit" ; cliquez sur "SCAN" puis patienter...
    En fin de traitement cliquez sur "SAVE" et enregistrer sur votre bureau "150309.txt"
    Double cliquez sur "150309.txt" ; le fichier s'ouvre dans le bloc-notes.
    Copiez le contenu et collez le sur votre prochain message
    0
  8. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Supprimer Boonty.exe

    Bouton Démarrer => Exécuter... => Ecrire : services.msc

    Rechercher dans le panneau qui s’ouvre : Boonty Games

    Double-clic dessus => Type de démarrage : Désactivé => en dessous Arrêter et OK

    Supprimer BOONTY Shared qui se trouve dans C:\Program Files\Fichiers communs\

    Si vous avez un message d'erreur à cause du processus actif, le refaire en mode sans échec.

    Redémarrez et passez HiJackThis pour vérifier qu'il n'y a plus de ligne avec Boonty.exe
    0
  9. sev
     
    j'ai extrais gmer que j'ai renommer bypass.exe mais il ne veut pas demarrer
    0
  10. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    il y a t-il un message d'erreur?
    0
  11. sev
     
    non pas de message il ne demarre pas
    j'ai supprimmé le boonty games
    0
  12. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Refait moi un hijackthis.
    0
  13. sev
     
    oui un message: loadDriver("C:/DOCUME-1/test/LOCALS-1/Temp/aunasnkj.sys")error0xC0000034:impossible de creer une sous cle stable sous une cle parente volatile
    0
  14. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Refait moi un hijackthis. ensuite je te dis à demain il est tard. si je ne te répond pas demain soir car je risque d'avoir pas mal de message , tu marque un up pour faire remonter ton message.
    0
  15. sev
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:46:35, on 15/05/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\apps\ABoard\ABoard.exe
    C:\apps\ABoard\AOSD.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\APPS\OD2\OD2DLEngine.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
    C:\APPS\OD2\OD2State.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\test\Bureau\bypass.exe
    C:\Program Files\Trend Micro\HijackThis en tutu\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: (no name) - {4B3F9085-BF43-413A-9800-5D96257BC5C4} - C:\WINDOWS\system32\catsrvu.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [DOWNLOAD MANAGER] C:\APPS\OD2\OD2DLEngine.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Micro Application\Securite Internet 2009\avp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Micro Application\Securite Internet 2009\ie_banner_deny.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Micro Application\Securite Internet 2009\SCIEPlgn.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O15 - Trusted Zone: *.od2.com
    O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/download/2006/cab/SystemDoctor2006FreeInstall_fr.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\MICROA~1\SECURI~1\adialhk.dll
    O20 - Winlogon Notify: __c0013190 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0022BA9 - C:\WINDOWS\
    O20 - Winlogon Notify: __c003D475 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0044768 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0046B69 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0052411 - C:\WINDOWS\
    O20 - Winlogon Notify: __c005DC5B - C:\WINDOWS\
    O20 - Winlogon Notify: __c005EB04 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0076840 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00789E6 - C:\WINDOWS\
    O20 - Winlogon Notify: __c007E43 - C:\WINDOWS\
    O20 - Winlogon Notify: __c008926 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0091A10 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0091FC4 - C:\WINDOWS\
    O20 - Winlogon Notify: __c0098FA6 - C:\WINDOWS\
    O20 - Winlogon Notify: __c009E464 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00A1A10 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00A2E80 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00A7B60 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00B3768 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00B93F9 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00C7061 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00CA9BE - C:\WINDOWS\
    O20 - Winlogon Notify: __c00CC1 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00CEA0 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E0DF1 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E2128 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E3F26 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E4256 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00E9A12 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F6041 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F68DB - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F6F5 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F86F5 - C:\WINDOWS\
    O20 - Winlogon Notify: __c00F9D30 - C:\WINDOWS\
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: Securite Internet 2009 (AVP) - Micro Application - C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  16. sev
     
    le gmer a fini par s'ouvrir mais l'anti virus me dit de le refuser donc gmer=0
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      non il faut pas le refuser, sinon désactive ton antivirus le temps du scan?
      0
  17. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ça à marché pour boonty game, tu vas me faire ceci à la place de gemer pour demain et ne fais surtout rien sans que je te le dise.

    Télécharge GenProc sur ton bureau

    Double-clique sur GenProc.exe

    et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

    Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.

    Voir comment utiliser GenProc

    Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

    0
  18. sev
     
    le gmer n' a rien trouvé
    je ferais la nouvelle demarche demain et je t'envoie le rapport
    merci bcp
    bonne nuit
    0
  19. sev
     
    rapport genproc:
    <head>
    <link rel="stylesheet" media="screen" type="text/css" title="design" href="GenProcPage/design.css" />
    <title>Rapport GenProc [1]</title>
    </head>
    <body>
    <center><img src="GenProcPage/2.gif" /> </center><br /><br />
    Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".<br />Par la suite, laisse-le avec ses réglages par défaut. C'est tout. <br /><br /><div class="decalage"><img src="GenProcPage/4.gif" /><em class="etapes">Etape 1</em>/ Télécharge :</div><br />
    <div class="decalage1"><img src="GenProcPage/1.gif" /><a href="http://merijn.geekstogo.com/files/bfu.zip"><em>Brute Force Uninstaller</em></a> (Merijn) et décompresse-le sur ton bureau.<br /></div> <div class="decalage1">Fais un clic droit de souris sur ce lien : <a href="http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu">http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu</a><br />et choisis "Enregistrer la cible (du lien) sous" afin de télécharger le script WinSoftware.bfu,<br />que tu placeras à côté de l'icône en forme de boule noire dentée bfu.exe.<br /><br /></div><br /><div class="decalage2"><img src="GenProcPage/important.gif" alt="important" title="important" /><strong> Redémarre en mode sans échec comme indiqué</strong><a href= "https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/" target="_blank"><em> ICI </em></a> ; Choisis ta session courante *** <em class="mse">test</em> *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).</div><br /><br /><br /><div class="decalage"><img src="GenProcPage/4.gif" /><em class="etapes">Etape 2</em>/ </div><br />
    <div class="decalage1"><img src="GenProcPage/1.gif" /> Double-clique sur le fichier BFU.exe en forme de boule noire dentée, sur ton bureau. Clique sur le petit dossier jaune,<br />à la droite de la boîte "Scriptfile to execute", et double-clique sur le fichier Winsoftware.bfu qui devrait apparaître.<br />- Dans la boîte "Script to execute", tu devrais maintenant voir le chemin complet du fichier Winsoftware.bfu. <br />- clique sur "Execute" et laisse-le faire son travail. La réussite de l'opération sera obligatoirement sanctionnée<br />par un message final "Complete script execution", si ce n'est pas le cas, il faudra le signaler.<br />- Clique sur OK, puis exit pour fermer le programme BFU.<br />- Recommence encore une fois.<br /><br /></div><div class="decalage"><img src="GenProcPage/4.gif" /><em class="etapes">Etape 3</em>/ </div><br />
    <div class="decalage1"><img src="GenProcPage/1.gif" /> Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.</div><br /><br /><div class="decalage"><img src="GenProcPage/4.gif " /><em class="etapes">Etape 4</em>/ </div><br />
    <div class="decalage1"><img src="GenProcPage/1.gif" /> Redémarre normalement et poste, dans la même réponse : <br /></div>
    <div class="decalage1">- Un nouveau rapport <a href= "http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm"target="_blank"><em>HijackThis</em></a> ;</div>
    <div class="decalage1">- Un nouveau rapport <em>GenProc</em> ;</div>
    <br /><div class="decalage1"> Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.</div><br />
    <center>----------------------------------------------------------------------</center>
    <center><a href= "file:///C:\GenProc\Arguments/Uninstall.html"target="_blank"><em class ="site">Liste Ajout-Suppression de programmes</a></em> - <a href= "file:///C:\GenProc\Arguments/Argument.html" target="_blank"><em class ="site">Arguments de la procédure</a></em></center><br />
    <center>Sites officiels GenProc : <a href= "http://www.alt-shift-return.org/Info/GenProc-HowTo.html"target="_blank"><em class ="site">alt-shift-return.org</em></a> et <a href= "http://ww11.genproc.com/" target="_blank"<em class ="site">GenProc.com</em></a></center></body>
    merci
    0
  • 1
  • 2