Problèmes .dll et lenteur

Résolu
dhjmn -  
 dhjmn -
Bonjour,
voici ce qu'affiche le rapport,
QUE DOIS JE FAIRE, j'y comprend rien !!! help !!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:53:01, on 20/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\HiYo\Bin\HiYo.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Trend Micro\HijackThis\HJT.exe
C:\Program Files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\Explorer.EXE
C:\program files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [msnlivesearch] C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe /Run
O4 - HKCU\..\Run: [kekiromanu] Rundll32.exe "C:\ProgramData\yevazani\yevazani.dll",s
O4 - HKCU\..\Run: [CPM299b28c0] Rundll32.exe "C:\ProgramData\yapowuwi\yapowuwi.dll",a
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
O13 - Gopher Prefix:
O20 - AppInit_DLLs: eNetHook.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

--
End of file - 8194 bytes
Configuration: Windows Vista
Firefox 3.0.10

15 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    je te demande un nouveau hijackthis pas de me remettre le même regarde la date et l'heure Scan saved at 22:53:01, on 20/05/2009 tu me vires ce rapport et tu relance hijackthis comme tu as fais la première fois et tu poste le rapport sur celui ci je vois les même infection , et poste moi le rapport de otmoviet qui est dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log . MERCI
    2
    1. dhmjn
       
      oups pardon, je suis trrès blonde et surtout pas douée !!!

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 21:51:43, on 25/05/2009
      Platform: Windows Vista SP1 (WinNT 6.00.1905)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\RtHDVCpl.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      C:\Program Files\Launch Manager\LaunchAp.exe
      C:\Program Files\Launch Manager\HotkeyApp.exe
      C:\Program Files\Launch Manager\OSDCtrl.exe
      C:\Program Files\Launch Manager\WButton.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\HiYo\Bin\HiYo.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\Program Files\Windows Sidebar\sidebar.exe
      C:\Windows\ehome\ehtray.exe
      C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe
      C:\Windows\ehome\ehmsas.exe
      C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
      C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
      C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
      C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
      C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\IncrediMail\bin\IMApp.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Windows\system32\wuauclt.exe
      C:\Program Files\IncrediMail\bin\IncMail.exe
      C:\program files\Mozilla Firefox\firefox.exe
      C:\Program Files\Trend Micro\HijackThis\HJT.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O1 - Hosts: ::1 localhost
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
      O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
      O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
      O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
      O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
      O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
      O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
      O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [msnlivesearch] C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe /Run
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
      O4 - Global Startup: Empowering Technology Launcher.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
      O9 - Extra 'Tools' menuitem: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
      O13 - Gopher Prefix:
      O20 - AppInit_DLLs: C:\Windows\System32\eNetHook.dll
      O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
      O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
      O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
      O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
      O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
      O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
      O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
      0
  2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, cette ligne me plait pas plus que cela O4 - HKCU\..\Run: [CPM299b28c0] Rundll32.exe "C:\ProgramData\yapowuwi\yapowuwi.dll",a tu peux me mettre un navilog pour voir si il nous le débusque , Merci

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    Télécharge maintenant Navilog1 depuis-ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

    en tant qu'administrateur".

    Au menu principal, Fais le choix 1
    Laisse toi guider et patiente.
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche le blocnote va s'ouvrir.
    Copie-colle l'intégralité du rapport dans une réponse.
    Referme le blocnote
    Le rapport fixnavi.txt est en outre sauvegardé dans C:(fixnavi.txt)

    avec des images pour l'installation : https://forums.cnetfrance.fr

    pour comprendre l'infection: http://www.malekal.com/Adware.Magic_Control.php

    0
  3. dhjmn
     
    d'abord merci pour la rapidité !!

    voici ce que donne navilog :

    Search Navipromo version 3.7.7 commencé le 20/05/2009 à 23:23:57,32

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
    X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU T2080 @ 1.73GHz )
    BIOS : Ver 1.00PARTTBL1
    USER : DIHEMOJUNA ( Administrator )
    BOOT : Normal boot

    C:\ (Local Disk) - NTFS - Total:69 Go (Free:4 Go)
    D:\ (Local Disk) - NTFS - Total:69 Go (Free:69 Go)
    E:\ (CD or DVD)

    Recherche executé en mode normal

    *** Recherche dossiers dans "C:\Windows" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Recherche dossiers dans "C:\ProgramData" ***

    *** Recherche dossiers dans "c:\users\dihemo~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "C:\Users\DIHEMOJUNA\AppData\Local\virtualstore\Program Files" ***

    *** Recherche dossiers dans "C:\Users\DIHEMOJUNA\AppData\Local" ***

    *** Recherche dossiers dans "C:\Users\DIHEMOJUNA\AppData\Roaming" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\Windows\system32" *

    * Recherche dans "C:\Users\DIHEMOJUNA\AppData\Local\Microsoft" *

    * Recherche dans "C:\Users\DIHEMOJUNA\AppData\Local\virtualstore\windows\system32" *

    * Recherche dans "C:\Users\DIHEMOJUNA\AppData\Local" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\Windows\system32" :

    * Dans "C:\Users\DIHEMOJUNA\AppData\Local\Microsoft" :

    * Dans "C:\Users\DIHEMOJUNA\AppData\Local\virtualstore\windows\system32" :

    * Dans "C:\Users\DIHEMOJUNA\AppData\Local" :

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :

    *** Analyse terminée le 20/05/2009 à 23:51:47,64 ***
    0
  4. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut jacques,
    De passage ...

    C'est du vundo (même si c'est pas dans system32, il me semble ...) :
    http://www.commentcamarche.net/forum/affich 10149476 publicites intempestives#8
    L'autre aussi :
    http://www.commentcamarche.net/forum/affich 10331414 virus ds fichier ddl#8

    https://www.google.fr/search?hl=fr&q=CPM299b28c0&btnG=Rechercher&meta=&gws_rd=ssl : même clé et nom aléatoire ...

    Bonne continuation.
    @+.
    Crapoulou.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    crapoulou bonsoir , merci mais j'ai ésité pour passer malwarebyte ou combo d'entré vu l'emplacement j'ai eu un doute , mais vu le rapport de navilog qui ne trouve rien de ce côté !!!

    dhjmn comme navilog ne trouve pas ce que je chaerchais tu vas passer malwarebytes , et poster le rapport , merci

    Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    . sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
    . enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Il va se mettre à jour une fois faite
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés)

    . cliques sur Supprimer la sélection

    . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . redemarre le pc
    . une fois redémarré double-cliques sur malwarebytes
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    0
  7. dhjmn
     
    voici le rapport

    Malwarebytes' Anti-Malware 1.36
    Version de la base de données: 2167
    Windows 6.0.6001 Service Pack 1

    22/05/2009 22:29:35
    mbam-log-2009-05-22 (22-29-35).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 188841
    Temps écoulé: 59 minute(s), 10 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 8
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Foxicle (Adware.Foxicle) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm299b28c0 (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kekiromanu (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMP3z (Adware.PlayMP3Z) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMP3z\Run PlayMP3z.lnk (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
    0
  8. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour , tu ouvriras malwarebytes et tu videras la quarantaine , et puis tu vas passer combofix car même si malwarebytes as trouvé et supprimer certaine chose je n'y vois pas le problème de départ tu suis bien les expliquation car c'est un outil relativement puissant donc pas de place pour l'improvisation personnel, tu déactive toutes tes protections pour pas gèner son travail , tu ne touches pas au pc pendant qu'il travail sauf pour répondre quand il te le demande , et prends le temps de lire le tutoriel officiel avant de façon à savoir ce qu'il te demande et pourquoi , merci

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    tutoriel officiel prend le temps de le lire : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. dhmjn
       
      ComboFix 09-05-23.04 - DIHEMOJUNA 24/05/2009 21:28.1 - NTFSx86
      Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.1021.313 [GMT 2:00]
      Lancé depuis: c:\users\DIHEMOJUNA\Downloads\ComboFix.exe
      SP: Avira AntiVir PersonalEdition *enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
      SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\program files\QUAD Utilities
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\program.log
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner website.url
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\Styles\Vista.cjstyles
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\uninst.exe
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
      c:\users\DIHEMOJUNA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities
      c:\users\DIHEMOJUNA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner website.lnk
      c:\users\DIHEMOJUNA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.lnk
      c:\users\DIHEMOJUNA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\Uninstall QUAD Registry Cleaner.lnk
      c:\users\DIHEMOJUNA\AppData\Roaming\QUAD Backups
      c:\users\DIHEMOJUNA\Desktop\QUAD Registry Cleaner.lnk

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-04-24 au 2009-05-24 ))))))))))))))))))))))))))))))))))))
      .

      2009-05-24 19:35 . 2009-05-24 19:36 -------- d-----w c:\users\DIHEMOJUNA\AppData\Local\temp
      2009-05-24 19:15 . 2009-05-06 18:06 4784464 ----a-w c:\programdata\Microsoft\Windows Defender\Definition Updates\{564BFE7D-5533-4594-ADB0-ED706B014980}\mpengine.dll
      2009-05-22 19:28 . 2009-05-22 19:28 -------- d-----w c:\users\DIHEMOJUNA\AppData\Roaming\Malwarebytes
      2009-05-22 19:27 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
      2009-05-22 19:27 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
      2009-05-22 19:27 . 2009-05-22 19:28 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
      2009-05-22 19:27 . 2009-05-22 19:27 -------- d-----w c:\programdata\Malwarebytes
      2009-05-20 21:22 . 2009-05-20 21:59 -------- d-----w c:\program files\Navilog1
      2009-05-20 20:18 . 2009-05-20 20:18 -------- d-----w c:\programdata\WindowsSearch
      2009-05-20 20:04 . 2009-05-20 20:04 -------- d-----w c:\program files\Trend Micro
      2009-05-20 19:13 . 2009-05-20 19:13 -------- d-----w c:\users\DIHEMOJUNA\AppData\Roaming\uniblue
      2009-05-20 19:12 . 2009-05-20 19:12 -------- d-----w c:\program files\Uniblue
      2009-05-05 19:16 . 2009-03-30 08:32 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
      2009-05-05 19:16 . 2009-03-24 14:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
      2009-05-05 19:16 . 2009-05-05 19:16 -------- d-----w c:\programdata\Avira
      2009-05-05 19:16 . 2009-05-05 19:16 -------- d-----w c:\program files\Avira
      2009-05-03 19:02 . 2009-03-08 11:34 914944 ----a-w c:\windows\system32\wininet.dll
      2009-04-29 19:56 . 2009-04-29 19:56 599560 ----a-w c:\users\DIHEMOJUNA\AppData\Roaming\HiYo\Data\hiyo_install.exe
      2009-04-28 20:18 . 2009-04-29 18:55 -------- d-----w c:\programdata\yapowuwi
      2009-04-28 20:18 . 2009-04-28 20:20 -------- d-----w c:\programdata\lomofasi
      2009-04-28 20:18 . 2009-04-28 20:18 -------- d-----w c:\programdata\perakivu
      2009-04-28 20:12 . 2009-05-10 08:12 -------- d-----w c:\programdata\rojibafe
      2009-04-28 20:12 . 2009-04-28 20:16 -------- d-----w c:\programdata\yevazani
      2009-04-28 20:12 . 2009-04-28 20:12 -------- d-----w c:\programdata\zijodope
      2009-04-26 14:50 . 2009-04-22 17:13 98304 ----a-w c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
      2009-04-26 14:50 . 2009-04-22 17:13 77824 ----a-w c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-05-24 19:06 . 2007-03-27 05:42 669566 ----a-w c:\windows\system32\perfh00C.dat
      2009-05-24 19:06 . 2007-03-27 05:42 123556 ----a-w c:\windows\system32\perfc00C.dat
      2009-05-24 19:01 . 2008-09-01 17:04 680 ----a-w c:\users\DIHEMOJUNA\AppData\Local\d3d9caps.dat
      2009-05-22 20:34 . 2007-08-22 16:50 46548 ----a-w c:\users\DIHEMOJUNA\AppData\Roaming\nvModes.dat
      2009-04-20 11:41 . 2009-04-20 11:41 -------- d-----w c:\program files\InterActual
      2009-04-16 19:24 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
      2009-03-17 03:38 . 2009-04-15 06:42 13824 ----a-w c:\windows\system32\apilogen.dll
      2009-03-17 03:38 . 2009-04-15 06:42 24064 ----a-w c:\windows\system32\amxread.dll
      2009-03-08 11:34 . 2009-05-03 19:03 43008 ----a-w c:\windows\system32\licmgr10.dll
      2009-03-08 11:33 . 2009-05-03 19:03 18944 ----a-w c:\windows\system32\corpol.dll
      2009-03-08 11:33 . 2009-05-03 19:03 109056 ----a-w c:\windows\system32\iesysprep.dll
      2009-03-08 11:33 . 2009-05-03 19:03 109568 ----a-w c:\windows\system32\PDMSetup.exe
      2009-03-08 11:33 . 2009-05-03 19:03 132608 ----a-w c:\windows\system32\ieUnatt.exe
      2009-03-08 11:33 . 2009-05-03 19:03 107520 ----a-w c:\windows\system32\RegisterIEPKEYs.exe
      2009-03-08 11:33 . 2009-05-03 19:03 107008 ----a-w c:\windows\system32\SetIEInstalledDate.exe
      2009-03-08 11:33 . 2009-05-03 19:03 103936 ----a-w c:\windows\system32\SetDepNx.exe
      2009-03-08 11:33 . 2009-05-03 19:03 420352 ----a-w c:\windows\system32\vbscript.dll
      2009-03-08 11:32 . 2009-05-03 19:03 72704 ----a-w c:\windows\system32\admparse.dll
      2009-03-08 11:32 . 2009-05-03 19:03 71680 ----a-w c:\windows\system32\iesetup.dll
      2009-03-08 11:32 . 2009-05-03 19:03 66560 ----a-w c:\windows\system32\wextract.exe
      2009-03-08 11:32 . 2009-05-03 19:03 169472 ----a-w c:\windows\system32\iexpress.exe
      2009-03-08 11:31 . 2009-05-03 19:03 34816 ----a-w c:\windows\system32\imgutil.dll
      2009-03-08 11:31 . 2009-05-03 19:03 48128 ----a-w c:\windows\system32\mshtmler.dll
      2009-03-08 11:31 . 2009-05-03 19:03 45568 ----a-w c:\windows\system32\mshta.exe
      2009-03-08 11:22 . 2009-05-03 19:03 156160 ----a-w c:\windows\system32\msls31.dll
      2009-03-07 19:03 . 2009-03-07 19:03 684872 ----a-w c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
      2009-03-03 04:46 . 2009-04-15 06:42 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
      2009-03-03 04:46 . 2009-04-15 06:42 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
      2009-03-03 04:39 . 2009-04-15 06:42 183296 ----a-w c:\windows\system32\sdohlp.dll
      2009-03-03 04:39 . 2009-04-15 06:42 551424 ----a-w c:\windows\system32\rpcss.dll
      2009-03-03 04:39 . 2009-04-15 06:42 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
      2009-03-03 04:37 . 2009-04-15 06:42 98304 ----a-w c:\windows\system32\iasrecst.dll
      2009-03-03 04:37 . 2009-04-15 06:42 54784 ----a-w c:\windows\system32\iasads.dll
      2009-03-03 04:37 . 2009-04-15 06:42 44032 ----a-w c:\windows\system32\iasdatastore.dll
      2009-03-03 03:04 . 2009-04-15 06:42 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
      2009-03-03 02:38 . 2009-04-15 06:42 17408 ----a-w c:\windows\system32\iashost.exe
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
      "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
      "IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-01-27 251264]
      "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
      "msnlivesearch"="c:\program files\Windows Live\MessengerSearchAddon\msgrsrch.exe" [2008-10-09 49152]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
      "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
      "LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
      "LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-01-10 200704]
      "LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
      "Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
      "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
      "Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-01-17 151552]
      "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-02-27 90191]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-02-27 7770112]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-02-27 81920]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-27 136600]
      "HiYo"="c:\program files\HiYo\bin\HiYo.exe" [2009-01-28 300336]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
      "RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-09 3784704]

      c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
      Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
      Contr“leur de calendrier Ulead.lnk - c:\program files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2007-12-16 69632]
      Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-3-26 528384]
      Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "EnableLUA"= 0 (0x0)
      "EnableUIADesktopToggle"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=c:\windows\System32\eNetHook.dll

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
      @="Service"

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
      "{4B1792D5-CE8F-4B56-8BCD-C9A8A09B9225}"= UDP:c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite
      "{77A34628-FB1B-4326-9F10-C1673664B752}"= TCP:c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite
      "{C94C50E6-E68C-44EB-9BC6-35536E769018}"= Disabled:UDP:c:\users\DIHEMOJUNA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OI6BLCQ3\incredimail_install[1].exe:IncrediMail Installer
      "{F5CA6E3A-BCBA-4F49-959A-896F4DFB4411}"= Disabled:TCP:c:\users\DIHEMOJUNA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OI6BLCQ3\incredimail_install[1].exe:IncrediMail Installer
      "TCP Query User{B109DBA3-A481-4762-8D06-481CA404BEC6}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
      "UDP Query User{C6EC11BE-D9DB-4AF6-B430-52D94CA0E65A}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
      "TCP Query User{25A2E08E-6229-4666-A383-C5A07963365B}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
      "UDP Query User{E579F7C0-61F6-4419-B80B-C5B53881AE11}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
      "TCP Query User{C1ECD27A-2C12-46AF-991A-2F1C50482C38}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
      "UDP Query User{BA00568A-04BF-4393-B6C0-0C7A812EB22D}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
      "{535A06BA-7AB9-4FED-BEA4-ACE1057D7D28}"= Disabled:UDP:c:\users\DIHEMOJUNA\AppData\Local\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe:IncrediMail Installer
      "{0E6C823A-9B57-4761-A5F2-D66BAF30F649}"= Disabled:TCP:c:\users\DIHEMOJUNA\AppData\Local\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe:IncrediMail Installer
      "{0CF60698-586E-4003-9E57-A01815209294}"= Disabled:UDP:c:\program files\IncrediMail\bin\IncrediMail_Install.exe:IncrediMail Installer
      "{CDC56CF8-ADD9-421A-9E36-1629B2DDB158}"= Disabled:TCP:c:\program files\IncrediMail\bin\IncrediMail_Install.exe:IncrediMail Installer
      "{4993CA28-1B82-4EDE-8FE2-18C1C96821AB}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
      "{7EC76F2F-AFFE-4C79-B5B9-687B3DE7DC61}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
      "{60B54BAF-B347-4EC6-8608-0DA091ADED3C}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
      "{2B880BA8-FB05-4231-A532-FCDACC25FF85}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail
      "{1D573CAB-54AD-4F4A-B0CF-37FCBF0C7DA7}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail
      "{327E0585-F869-4E51-8B2B-DD5556CB7484}"= Disabled:UDP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
      "{F7B705BC-A66B-4FFF-B228-D595B7667C78}"= Disabled:TCP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
      "{E6D4A433-9FAE-4954-8925-20BF8002C912}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail
      "{156405F0-1F71-4651-8D11-5154BE9FCA5A}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
      "c:\\Acer\\Empowering Technology\\eDataSecurity\\eDSfsu.exe"= c:\acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu
      "c:\\Acer\\Empowering Technology\\eDataSecurity\\encryption.exe"= c:\acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption
      "c:\\Acer\\Empowering Technology\\eDataSecurity\\decryption.exe"= c:\acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption

      R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/05/2009 21:16 108289]
      R3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [26/05/2007 09:50 118784]
      S3 fbxusb;FreeBox USB Network Adapter;c:\windows\System32\drivers\fbxusb.sys [31/12/2003 11:35 18848]

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
      "c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKLM-Run-Acer Tour - (no file)
      HKLM-Run-eRecoveryService - (no file)
      SafeBoot-procexp90.Sys


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://mystart.incredimail.com/french
      uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
      mStart Page = hxxp://fr.fr.acer.yahoo.com
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
      IE: {{D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - c:\casino\Vegas Red Casino\casino.exe
      FF - ProfilePath - c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
      FF - prefs.js: browser.search.selectedEngine - MyStart Search
      FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/french
      FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
      FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
      FF - component: c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
      FF - component: c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
      FF - component: c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\bkmrksync@nokia.com\components\BkMrkExt.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-05-24 21:36
      Windows 6.0.6001 Service Pack 1 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\[u]0/u000\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      "MSCurrentCountry"=dword:000000b5
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(744)
      c:\windows\system32\eNetHook.dll

      - - - - - - - > 'lsass.exe'(628)
      c:\windows\system32\eNetHook.dll
      .
      Heure de fin: 2009-05-24 21:38
      ComboFix-quarantined-files.txt 2009-05-24 19:38

      Avant-CF: 10 244 464 640 octets libres
      Après-CF: 10 659 495 936 octets libres

      224 --- E O F --- 2009-05-20 19:36
      0
  9. dhmjn
     
    ComboFix 09-05-23.04 - DIHEMOJUNA 24/05/2009 21:28.1 - NTFSx86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.1021.313 [GMT 2:00]
    Lancé depuis: c:\users\DIHEMOJUNA\Downloads\ComboFix.exe
    SP: Avira AntiVir PersonalEdition *enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\QUAD Utilities
    c:\program files\QUAD Utilities\QUAD Registry Cleaner\program.log
    c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner website.url
    c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe
    c:\program files\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
    c:\program files\QUAD Utilities\QUAD Registry Cleaner\Styles\Vista.cjstyles
    c:\program files\QUAD Utilities\QUAD Registry Cleaner\uninst.exe
    c:\program files\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
    c:\users\DIHEMOJUNA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities
    c:\users\DIHEMOJUNA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner website.lnk
    c:\users\DIHEMOJUNA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.lnk
    c:\users\DIHEMOJUNA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QUAD Utilities\QUAD Registry Cleaner\Uninstall QUAD Registry Cleaner.lnk
    c:\users\DIHEMOJUNA\AppData\Roaming\QUAD Backups
    c:\users\DIHEMOJUNA\Desktop\QUAD Registry Cleaner.lnk

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-04-24 au 2009-05-24 ))))))))))))))))))))))))))))))))))))
    .

    2009-05-24 19:35 . 2009-05-24 19:36 -------- d-----w c:\users\DIHEMOJUNA\AppData\Local\temp
    2009-05-24 19:15 . 2009-05-06 18:06 4784464 ----a-w c:\programdata\Microsoft\Windows Defender\Definition Updates\{564BFE7D-5533-4594-ADB0-ED706B014980}\mpengine.dll
    2009-05-22 19:28 . 2009-05-22 19:28 -------- d-----w c:\users\DIHEMOJUNA\AppData\Roaming\Malwarebytes
    2009-05-22 19:27 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
    2009-05-22 19:27 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
    2009-05-22 19:27 . 2009-05-22 19:28 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
    2009-05-22 19:27 . 2009-05-22 19:27 -------- d-----w c:\programdata\Malwarebytes
    2009-05-20 21:22 . 2009-05-20 21:59 -------- d-----w c:\program files\Navilog1
    2009-05-20 20:18 . 2009-05-20 20:18 -------- d-----w c:\programdata\WindowsSearch
    2009-05-20 20:04 . 2009-05-20 20:04 -------- d-----w c:\program files\Trend Micro
    2009-05-20 19:13 . 2009-05-20 19:13 -------- d-----w c:\users\DIHEMOJUNA\AppData\Roaming\uniblue
    2009-05-20 19:12 . 2009-05-20 19:12 -------- d-----w c:\program files\Uniblue
    2009-05-05 19:16 . 2009-03-30 08:32 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
    2009-05-05 19:16 . 2009-03-24 14:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
    2009-05-05 19:16 . 2009-05-05 19:16 -------- d-----w c:\programdata\Avira
    2009-05-05 19:16 . 2009-05-05 19:16 -------- d-----w c:\program files\Avira
    2009-05-03 19:02 . 2009-03-08 11:34 914944 ----a-w c:\windows\system32\wininet.dll
    2009-04-29 19:56 . 2009-04-29 19:56 599560 ----a-w c:\users\DIHEMOJUNA\AppData\Roaming\HiYo\Data\hiyo_install.exe
    2009-04-28 20:18 . 2009-04-29 18:55 -------- d-----w c:\programdata\yapowuwi
    2009-04-28 20:18 . 2009-04-28 20:20 -------- d-----w c:\programdata\lomofasi
    2009-04-28 20:18 . 2009-04-28 20:18 -------- d-----w c:\programdata\perakivu
    2009-04-28 20:12 . 2009-05-10 08:12 -------- d-----w c:\programdata\rojibafe
    2009-04-28 20:12 . 2009-04-28 20:16 -------- d-----w c:\programdata\yevazani
    2009-04-28 20:12 . 2009-04-28 20:12 -------- d-----w c:\programdata\zijodope
    2009-04-26 14:50 . 2009-04-22 17:13 98304 ----a-w c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
    2009-04-26 14:50 . 2009-04-22 17:13 77824 ----a-w c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-05-24 19:06 . 2007-03-27 05:42 669566 ----a-w c:\windows\system32\perfh00C.dat
    2009-05-24 19:06 . 2007-03-27 05:42 123556 ----a-w c:\windows\system32\perfc00C.dat
    2009-05-24 19:01 . 2008-09-01 17:04 680 ----a-w c:\users\DIHEMOJUNA\AppData\Local\d3d9caps.dat
    2009-05-22 20:34 . 2007-08-22 16:50 46548 ----a-w c:\users\DIHEMOJUNA\AppData\Roaming\nvModes.dat
    2009-04-20 11:41 . 2009-04-20 11:41 -------- d-----w c:\program files\InterActual
    2009-04-16 19:24 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
    2009-03-17 03:38 . 2009-04-15 06:42 13824 ----a-w c:\windows\system32\apilogen.dll
    2009-03-17 03:38 . 2009-04-15 06:42 24064 ----a-w c:\windows\system32\amxread.dll
    2009-03-08 11:34 . 2009-05-03 19:03 43008 ----a-w c:\windows\system32\licmgr10.dll
    2009-03-08 11:33 . 2009-05-03 19:03 18944 ----a-w c:\windows\system32\corpol.dll
    2009-03-08 11:33 . 2009-05-03 19:03 109056 ----a-w c:\windows\system32\iesysprep.dll
    2009-03-08 11:33 . 2009-05-03 19:03 109568 ----a-w c:\windows\system32\PDMSetup.exe
    2009-03-08 11:33 . 2009-05-03 19:03 132608 ----a-w c:\windows\system32\ieUnatt.exe
    2009-03-08 11:33 . 2009-05-03 19:03 107520 ----a-w c:\windows\system32\RegisterIEPKEYs.exe
    2009-03-08 11:33 . 2009-05-03 19:03 107008 ----a-w c:\windows\system32\SetIEInstalledDate.exe
    2009-03-08 11:33 . 2009-05-03 19:03 103936 ----a-w c:\windows\system32\SetDepNx.exe
    2009-03-08 11:33 . 2009-05-03 19:03 420352 ----a-w c:\windows\system32\vbscript.dll
    2009-03-08 11:32 . 2009-05-03 19:03 72704 ----a-w c:\windows\system32\admparse.dll
    2009-03-08 11:32 . 2009-05-03 19:03 71680 ----a-w c:\windows\system32\iesetup.dll
    2009-03-08 11:32 . 2009-05-03 19:03 66560 ----a-w c:\windows\system32\wextract.exe
    2009-03-08 11:32 . 2009-05-03 19:03 169472 ----a-w c:\windows\system32\iexpress.exe
    2009-03-08 11:31 . 2009-05-03 19:03 34816 ----a-w c:\windows\system32\imgutil.dll
    2009-03-08 11:31 . 2009-05-03 19:03 48128 ----a-w c:\windows\system32\mshtmler.dll
    2009-03-08 11:31 . 2009-05-03 19:03 45568 ----a-w c:\windows\system32\mshta.exe
    2009-03-08 11:22 . 2009-05-03 19:03 156160 ----a-w c:\windows\system32\msls31.dll
    2009-03-07 19:03 . 2009-03-07 19:03 684872 ----a-w c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
    2009-03-03 04:46 . 2009-04-15 06:42 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
    2009-03-03 04:46 . 2009-04-15 06:42 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
    2009-03-03 04:39 . 2009-04-15 06:42 183296 ----a-w c:\windows\system32\sdohlp.dll
    2009-03-03 04:39 . 2009-04-15 06:42 551424 ----a-w c:\windows\system32\rpcss.dll
    2009-03-03 04:39 . 2009-04-15 06:42 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
    2009-03-03 04:37 . 2009-04-15 06:42 98304 ----a-w c:\windows\system32\iasrecst.dll
    2009-03-03 04:37 . 2009-04-15 06:42 54784 ----a-w c:\windows\system32\iasads.dll
    2009-03-03 04:37 . 2009-04-15 06:42 44032 ----a-w c:\windows\system32\iasdatastore.dll
    2009-03-03 03:04 . 2009-04-15 06:42 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
    2009-03-03 02:38 . 2009-04-15 06:42 17408 ----a-w c:\windows\system32\iashost.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
    "IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-01-27 251264]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "msnlivesearch"="c:\program files\Windows Live\MessengerSearchAddon\msgrsrch.exe" [2008-10-09 49152]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
    "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
    "LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
    "LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-01-10 200704]
    "LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
    "Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
    "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
    "Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-01-17 151552]
    "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-02-27 90191]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-02-27 7770112]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-02-27 81920]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-27 136600]
    "HiYo"="c:\program files\HiYo\bin\HiYo.exe" [2009-01-28 300336]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-09 3784704]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
    Contr“leur de calendrier Ulead.lnk - c:\program files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2007-12-16 69632]
    Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-3-26 528384]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\System32\eNetHook.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
    "{4B1792D5-CE8F-4B56-8BCD-C9A8A09B9225}"= UDP:c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite
    "{77A34628-FB1B-4326-9F10-C1673664B752}"= TCP:c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite
    "{C94C50E6-E68C-44EB-9BC6-35536E769018}"= Disabled:UDP:c:\users\DIHEMOJUNA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OI6BLCQ3\incredimail_install[1].exe:IncrediMail Installer
    "{F5CA6E3A-BCBA-4F49-959A-896F4DFB4411}"= Disabled:TCP:c:\users\DIHEMOJUNA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OI6BLCQ3\incredimail_install[1].exe:IncrediMail Installer
    "TCP Query User{B109DBA3-A481-4762-8D06-481CA404BEC6}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
    "UDP Query User{C6EC11BE-D9DB-4AF6-B430-52D94CA0E65A}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
    "TCP Query User{25A2E08E-6229-4666-A383-C5A07963365B}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
    "UDP Query User{E579F7C0-61F6-4419-B80B-C5B53881AE11}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
    "TCP Query User{C1ECD27A-2C12-46AF-991A-2F1C50482C38}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
    "UDP Query User{BA00568A-04BF-4393-B6C0-0C7A812EB22D}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
    "{535A06BA-7AB9-4FED-BEA4-ACE1057D7D28}"= Disabled:UDP:c:\users\DIHEMOJUNA\AppData\Local\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe:IncrediMail Installer
    "{0E6C823A-9B57-4761-A5F2-D66BAF30F649}"= Disabled:TCP:c:\users\DIHEMOJUNA\AppData\Local\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe:IncrediMail Installer
    "{0CF60698-586E-4003-9E57-A01815209294}"= Disabled:UDP:c:\program files\IncrediMail\bin\IncrediMail_Install.exe:IncrediMail Installer
    "{CDC56CF8-ADD9-421A-9E36-1629B2DDB158}"= Disabled:TCP:c:\program files\IncrediMail\bin\IncrediMail_Install.exe:IncrediMail Installer
    "{4993CA28-1B82-4EDE-8FE2-18C1C96821AB}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
    "{7EC76F2F-AFFE-4C79-B5B9-687B3DE7DC61}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
    "{60B54BAF-B347-4EC6-8608-0DA091ADED3C}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
    "{2B880BA8-FB05-4231-A532-FCDACC25FF85}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail
    "{1D573CAB-54AD-4F4A-B0CF-37FCBF0C7DA7}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail
    "{327E0585-F869-4E51-8B2B-DD5556CB7484}"= Disabled:UDP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
    "{F7B705BC-A66B-4FFF-B228-D595B7667C78}"= Disabled:TCP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
    "{E6D4A433-9FAE-4954-8925-20BF8002C912}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail
    "{156405F0-1F71-4651-8D11-5154BE9FCA5A}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
    "c:\\Acer\\Empowering Technology\\eDataSecurity\\eDSfsu.exe"= c:\acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu
    "c:\\Acer\\Empowering Technology\\eDataSecurity\\encryption.exe"= c:\acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption
    "c:\\Acer\\Empowering Technology\\eDataSecurity\\decryption.exe"= c:\acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/05/2009 21:16 108289]
    R3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [26/05/2007 09:50 118784]
    S3 fbxusb;FreeBox USB Network Adapter;c:\windows\System32\drivers\fbxusb.sys [31/12/2003 11:35 18848]

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    "c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-Acer Tour - (no file)
    HKLM-Run-eRecoveryService - (no file)
    SafeBoot-procexp90.Sys

    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://mystart.incredimail.com/french
    uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
    mStart Page = hxxp://fr.fr.acer.yahoo.com
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    IE: {{D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - c:\casino\Vegas Red Casino\casino.exe
    FF - ProfilePath - c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - MyStart Search
    FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/french
    FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
    FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
    FF - component: c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
    FF - component: c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
    FF - component: c:\users\DIHEMOJUNA\AppData\Roaming\Mozilla\Firefox\Profiles\k169cvin.default\extensions\bkmrksync@nokia.com\components\BkMrkExt.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-05-24 21:36
    Windows 6.0.6001 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\[u]0/u000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(744)
    c:\windows\system32\eNetHook.dll

    - - - - - - - > 'lsass.exe'(628)
    c:\windows\system32\eNetHook.dll
    .
    Heure de fin: 2009-05-24 21:38
    ComboFix-quarantined-files.txt 2009-05-24 19:38

    Avant-CF: 10 244 464 640 octets libres
    Après-CF: 10 659 495 936 octets libres

    224 --- E O F --- 2009-05-20 19:36
    0
  10. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, combo en a supprimer pas mal mais il en reste tu fais ce qui suit avec otmoviet et ccleaner et tu posteras un nouveau hijackthis, merci

    1) Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    Double-clique sur OTMoveIt3.exe pour le lancer.

    Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

    Copie la liste qui se trouve en gras ci-dessous,

    et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

    :processes
    explorer.exe

    :files
    C:\ProgramData\yevazani\yevazani.dll
    C:\ProgramData\yapowuwi\yapowuwi.dll
    C:\ProgramData\yevazani
    C:\ProgramData\yapowuwi
    c:\programdata\lomofasi
    c:\programdata\perakivu
    c:\programdata\rojibafe
    c:\programdata\zijodope

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]


    Clique sur "MoveIt!" pour lancer la suppression.

    Le résultat apparaitra dans le cadre "Results".

    Clique sur "Exit" pour fermer.

    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

    Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    2) Redémarres le PC et passes Ccleaner avec ces réglages LA

    télécharge Ccleaner à partir de cette adresses

    .enregistres le sur le bureau
    .double-cliques sur le fichier pour lancer l'installation
    .sur la fenêtre de l'installation langage bien choisir français et OK
    .cliques sur suivant
    .lis la licence et j'accepte
    .cliques sur suivant
    .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
    .cliques sur intaller
    .cliques sur fermer
    .double-cliques sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    .cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .cliques maintenant sur registre et puis sur rechercher les erreurs
    .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et fermer tu vériffis en relancant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner

    et pour mieux le connaire : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

    3) poste un nouveau hijackthis , Merci

    0
    1. dhmjn
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:53:01, on 20/05/2009
      Platform: Windows Vista SP1 (WinNT 6.00.1905)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\Dwm.exe
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Windows\RtHDVCpl.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      C:\Program Files\Launch Manager\LaunchAp.exe
      C:\Program Files\Launch Manager\HotkeyApp.exe
      C:\Program Files\Launch Manager\OSDCtrl.exe
      C:\Program Files\Launch Manager\WButton.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\HiYo\Bin\HiYo.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\Program Files\Windows Sidebar\sidebar.exe
      C:\Windows\ehome\ehtray.exe
      C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe
      C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
      C:\Windows\ehome\ehmsas.exe
      C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
      C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
      C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
      C:\Program Files\Trend Micro\HijackThis\HJT.exe
      C:\Program Files\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe
      C:\Program Files\IncrediMail\bin\IMApp.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Windows\system32\wuauclt.exe
      C:\Windows\Explorer.EXE
      C:\program files\Mozilla Firefox\firefox.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O1 - Hosts: ::1 localhost
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
      O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
      O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
      O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
      O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
      O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
      O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [msnlivesearch] C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe /Run
      O4 - HKCU\..\Run: [kekiromanu] Rundll32.exe "C:\ProgramData\yevazani\yevazani.dll",s
      O4 - HKCU\..\Run: [CPM299b28c0] Rundll32.exe "C:\ProgramData\yapowuwi\yapowuwi.dll",a
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
      O4 - Global Startup: Empowering Technology Launcher.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
      O9 - Extra 'Tools' menuitem: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
      O13 - Gopher Prefix:
      O20 - AppInit_DLLs: eNetHook.dll
      O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
      O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
      O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
      O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
      O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
      O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
      O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
      0
  11. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    je regarde et je reviens
    0
  12. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bon côté infection cela me semble bon je vais te faire refair un otmoviet pour virer ce qu'il reste de norton anti-virus et puis tu feras ce qui suit pour finir le nettoyage, Merci

    tu postes le rapport de otmoviet, et tu enchaines pour le reste

    1) Double-clique sur OTMoveIt3.exe pour le lancer.

    Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

    Copie la liste qui se trouve en GRAS entre les deux traits ici-dessous,

    et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

    ____________________________________________________________________


    :processes
    explorer.exe
    ccSvcHst.exe

    :services
    CLTNetCnService

    :files
    c:\Program Files\Common Files\Symantec Shared
    C:\Casino\Vegas Red Casino\casino.exe
    C:\Casino\Vegas Red Casino

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]


    __________________________________________________________________

    Clique sur "MoveIt!" pour lancer la suppression.

    Le résultat apparaitra dans le cadre "Results".

    Clique sur "Exit" pour fermer.

    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

    Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    2) Tu désinstalles les outils utilisés avec Toolscleaner2 lui tu le supprimeras de sur le bureau manuellement ainsi que le rapport généré qui est dans ton disque dur système sous le nom de " TCleaner "

    Télécharge toolscleaner sur ton Bureau : http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

    . Double-cliques "pour vista clique droit et en tant que administrateur" sur ToolsCleaner2 "l'as de carreau" et laisse le travailler
    . Cliques sur Recherche et laisse le scan se terminer. attention ça peut parraitre long
    . Cliques sur Suppression pour finaliser.
    . Tu peux, si tu le souhaites, te servir des Options facultatives.
    . Clique sur Quitter, pour que le rapport puisse se créer.
    . Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

    3) Redémarres le PC et passes Ccleaner avec ces réglages LA

    télécharge Ccleaner à partir de cette adresses

    .enregistres le sur le bureau
    .double-cliques sur le fichier pour lancer l'installation
    .sur la fenêtre de l'installation langage bien choisir français et OK
    .cliques sur suivant
    .lis la licence et j'accepte
    .cliques sur suivant
    .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
    .cliques sur intaller
    .cliques sur fermer
    .double-cliques sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    .cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .cliques maintenant sur registre et puis sur rechercher les erreurs
    .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et fermer tu vériffis en relancant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner

    et pour mieux le connaire : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm
    0
    1. dhmjn
       
      ========== PROCESSES ==========
      Process explorer.exe killed successfully.
      Unable to kill process: ccSvcHst.exe
      ========== SERVICES/DRIVERS ==========
      Service\Driver CLTNetCnService not found.
      Unable to delete service\driver keyCLTNetCnService.
      ========== FILES ==========
      Folder move failed. c:\Program Files\Common Files\Symantec Shared\CCPD-LC scheduled to be moved on reboot.
      Folder move failed. c:\Program Files\Common Files\Symantec Shared scheduled to be moved on reboot.
      File/Folder C:\Casino\Vegas Red Casino\casino.exe not found.
      File/Folder C:\Casino\Vegas Red Casino not found.
      ========== COMMANDS ==========
      File delete failed. C:\Users\DIHEMO~1\AppData\Local\Temp\etilqs_QLIrUEKUZbYh1JmVj0ia scheduled to be deleted on reboot.
      User's Temp folder emptied.
      User's Internet Explorer cache folder emptied.
      Windows Temp folder emptied.
      File delete failed. C:\Users\DIHEMOJUNA\AppData\Local\Mozilla\Firefox\Profiles\k169cvin.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
      File delete failed. C:\Users\DIHEMOJUNA\AppData\Local\Mozilla\Firefox\Profiles\k169cvin.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
      File delete failed. C:\Users\DIHEMOJUNA\AppData\Local\Mozilla\Firefox\Profiles\k169cvin.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
      File delete failed. C:\Users\DIHEMOJUNA\AppData\Local\Mozilla\Firefox\Profiles\k169cvin.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
      File delete failed. C:\Users\DIHEMOJUNA\AppData\Local\Mozilla\Firefox\Profiles\k169cvin.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
      File delete failed. C:\Users\DIHEMOJUNA\AppData\Local\Mozilla\Firefox\Profiles\k169cvin.default\XUL.mfl scheduled to be deleted on reboot.
      FireFox cache emptied.
      Temp folders emptied.
      Explorer started successfully

      OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05252009_222841
      0
    2. dhmjn
       
      il me marque impossible de créer le fichier c:\tcleaner.txt acces refusé
      0
  13. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bizare ton affaire avec toolcleaner tu le vires de sur le bureau et tu recommances en déactivant l'uac et en le lancant avec un clique droit en en tant que administrateur je te remets un nouvel procédure

    Désactive le contrôle des comptes utilisateurs
    (tu le réactiveras après ta désinfection):

    * Vas dans démarrer puis panneau de configuration
    * Double Clique sur l'icône "Comptes d'utilisateurs"
    * Cliques ensuite sur désactiver et valide.

    Télécharge toolscleaner sur ton Bureau : http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

    . cliques droit et en tant que administrateur sur ToolsCleaner2 "l'as de carreau" et laisse le travailler
    . Cliques sur Recherche et laisse le scan se terminer. attention ça peut parraitre long
    . Cliques sur Suppression pour finaliser.
    . Tu peux, si tu le souhaites, te servir des Options facultatives.
    . Clique sur Quitter, pour que le rapport puisse se créer.
    . Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

    0
    1. dhmjn
       
      [ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

      --> Recherche:

      C:\Program Files\Navilog1: trouvé !
      C:\Program Files\Trend Micro\HijackThis: trouvé !
      C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
      C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
      C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
      C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
      C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
      C:\Users\DIHEMOJUNA\Downloads\ComboFix.exe: trouvé !

      ---------------------------------
      --> Suppression:

      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
      C:\Users\DIHEMOJUNA\Downloads\ComboFix.exe: ERREUR DE SUPPRESSION !!
      C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
      C:\Program Files\Navilog1: supprimé !
      C:\Program Files\Trend Micro\HijackThis: supprimé !
      C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
      0
  14. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    C:\Users\DIHEMOJUNA\Downloads\ComboFix.exe: ERREUR DE SUPPRESSION !!

    tu vériffiras si combofix est toujours la ou pas
    0
    1. dhmjn
       
      j'ai tout fait, c'est nickel, mais combofix est toujours là
      et j'ai un nouveau problème, je reçoit les mails, mais je ne peux plus en envoyer, ils restent dans ma boite d'envoi !!!! (je suis sur incredimail)
      aie aie aie !!
      est ce que je vais m'en sortir
      0
  15. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    supprimes le manuellement pour ta boite Email désolé mais je ne connais pas incredimail perso j'utilise windows live mais si tu peux le désinstaller et le réinstaller possible qu'il a pris une claque avec la désinfection et puis il faudra mettre adobe reader à jour car tu toune avec la version 7 et il faut mettre la 9
    0
    1. dhjmn
       
      c'est tout bon, j'ai même réparer incredimail.

      merci milles fois
      0
  16. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour , il avait surrement pris une claque come je te disais donc ton problème est résolu si oui tu le dis que je coche résolu pour le sujet , merci @+
    0
    1. dhjmn
       
      oui pour moi c'est résolu
      super !!!
      0