Cheval De Troie BackDoor.Generic11.ZNE

Question

Bonjour,
J'viens sur ce forum pour vous expliquer mon problème que j'ai depuis hier soir et que j'ai toujours pas réussi a régler !
Voilas en fait hier j'ai essayé de télécharger fichier enfin rien de spécial et a après quelques minutes mon antivirus AVG Antivirus Free détecte un cheval de Troie: Cheval De Troie BackDoor.Generic11.ZNE
Bon bah j'arrête le téléchargement, je supprime le fichier et paf ça recommence, je redémarre l'ordi, et encore le cheval de Troie, en plus il me fait buguer le volet Windows, alors je décide de faire une restauration système de 1 jours, et j'ai une fenêtre     qui s'affiche qui me dit que ça a pas pu ce faire, alors je recommence a plusieurs endroit de sauvegarde mais toujours le même résultat, et donc toutes les 2 min j'ai mon antivirus qui me dit que je suis infecté et a chaque fois je le met en quarantaine et il revient encore et encore ...
J'ai beau chercher sur internet, soit je comprend rien ou soit les sujets ne sont pas complet ou soit c'est sur une autre version de Windows ...
J'ai aussi voulus formater le PC mais pareil je sais pas comment faire et j'ai beau chercher je trouve aucune solutions (en plus ils disent tous des trucs différents)
Alors je me suis décidé a venir vous demander de l'aide en espérant que vous arriviez a trouver une solution a mon problème !
Voilas si vous avez des questions, des solutions, bah je vous en remercie.

Nic00 · Answer

Salut,

&#9654; Télécharge random's system information tool (RSIT) 
http://images.malwareremoval.com/random/RSIT.exe
&#9654;Enregistre le sur ton Bureau
&#9654; Double clique sur RSIT.exe pour l’exécuter. 

&#9654; Clique sur "continue" à l'écran Disclaimer. 

&#9654; Si l'outil HIjackThis  n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu n’auras qu’à  accepter la licence. 

&#9654; Une fois le scan terminé , 2 rapports vont apparaitre. 
&#9654; Poste les dans ton prochain message 
&#9654; Note : les rapports se trouvent aussi ici : ( log.txt & info.txt )
&#9654;Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

Lightning · Answer

Merci de répondre aussi vite!
Donc j'ai fait ce que tu m'as demander et ça me donne ça:

-Log.txt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Ben at 2009-07-15 19:10:54
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 120 GB (36%) free of 335 GB
Total RAM: 2047 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:34, on 15/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
C:\Windows\System32undll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Users\Ben\AppData\Local\ggcmcyy.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Users\Ben\AppData\Local\Temp\b.exe
C:\Windows\system32\ctfmon.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Ben\Desktop\RSIT.exe
C:\Program Files	rend micro\Ben.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ask.com/?o=101764&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - *{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\Windows\system32\msxml71.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSPService] C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [RavAV] C:\Windows\AdobeR.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [ggcmcyy] "c:\users\ben\appdata\local\ggcmcyy.exe" ggcmcyy
O4 - HKCU\..\Run: [Cognac] C:\Users\Ben\AppData\Local\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL,avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

Lightning · Answer

comme il manque une partie je fais un double post désolé ^^

Event Type: Échec de l'audit
User: 

Computer Name: PC-de-Ben
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Program Files\Xfire\xfire_toucan_35771.dll	
Record Number: 27042
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090313135145.592589-000
Event Type: Échec de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Nic00 · Answer

Comment ça se fait que tu as plusieurs antivirus ?!
1 seul suffit sinon=> risque de conflits

Vire les en t'aidant de ce lien:
http://www.commentcamarche.net/faq/sujet 7367 desinstaller proprement liens et astuces


Télécharge et installe Antivir à la place:
http://www.commentcamarche.net/telecharger/telecharger 55 antivir

1.Une fois installé, ouvre la page centrale de démarrage.
2.Clique sur « configuration » (en haut à droite)
3.Clique sur la case « mode expert » (en haut à gauche)
4.Dans « fichiers », sélectionne « tous les fichiers »
Dans « Autres réglages » ; sélectionne toutes les cases sauf « Ignorer les fichiers hors lignes »
5.Clique sur le petit « + » a coté de scanner dans le menu à gauche.
6.Clique sur "recherche", puis « archives », et TOUT sélectionner.
7.Dans le menu à gauche, sous archives, clique sur « Heuristique ». Sélectionne tout, et
sélectionne « Haute détection »
8.Clique sur le petit « + » de « Guard »
9.Clique sur le petit « + » de "recherche".
10.Sélectionne l’option « contrôler a la lecture et a l’écriture » dans « Mode de recherche».
Sélectionne l’option « Tous les fichiers » dans « fichiers »
Sélectionne toutes les options dans « archives »
11.Clique sur le petit « + » dans « Généralités » dans le menu à gauche
12.Sélectionne « catégorie étendues »
13.Engage l’option « tout sélectionner »


On passe à la désinfection: 

>>  Télécharge Navilog sur ton bureau: 

 http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  
/!\   si tu as Vista, désactive l’UAC le temps de la désinfection :	Panneau de configuration>comptes utilisateurs>activer/désactiver le contrôle  des comptes utilisateurs>décoche la cas puis fais OK 

>>  Désactives ton antivirus également.
>>  Lance l’application ( clic-droit : exécuter en tant qu'administrateur si tu es sous Vista)
>>  Arriver au menu principal, choisis l'option 1 et valide. 
>>  Patiente jusqu'au message : Analyse Termine le ... 
 >> Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt)




&#9654;Télécharge Toolbar S&D:
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

&#9654; Lances l'installation en exécutant le fichier téléchargé... 

&#9654; Double-clique sur le raccourci de Toolbar, qui se trouve sur ton bureau, pour lancer l'application. 

&#9654;sélectionnes la langue, puis valides par la touche '' Entrée '' de ton clavier... 

&#9654; Au menu, choisis l'option1 (recherche) et patientes jusqu'à la fin de la recherche. 

&#9654; Un rapport sera généré à la fin. Poste-le stp.

Lightning · Answer

Euuuh ...
Quand je passe a la désinfection avec le logiciel Navilog il se lance, je choisis l'option 1, il fait tout ses trucs, mais reste bloqué a la recherche de clés spécifiques  dans le registre, il reste sur Veuillez patienter.
J'l'ai lancé qu'une fois et je l'ai pas touché (j'ai peur que si je ferme je fasse une bêtise ^^)
Et aussi de temps en temps y a une fenêtre qui m'affiche que l'utilitaire QGREP de recherche de chaînes de caractères a cessé de fonctionner.

Sinon j'ai désinstalle mon Antivirus avg pour celui que tu m'as donné j'ai suivit tous ce que tu m'as dit (et d'ailleurs pourquoi tu m'as dit que j'avais plusieurs antivirus? j'en ai qu'un !)

Et j'suis obligé d'attendre l'étape de la désinfection pour passer a la suite?

Edit a si finalement il a fini et j'ai ce message qui apparait:

"!! Nettoyage au redemarrage du PC non possible !!
Nettoyage en Mode Sans Echec imperatif
a effectuer dans la mÛme session ou l infection a ete trouve
Transmettez cette information au Helper
et suivez ses nouvelles instructions.

L outil va etre interrompu
Appuyez sur une touche pour continuer..."

voilas j'attend que tu me dises quoi faire !

Lightning · Answer

SVP me laissé pas en plan comme ca :'(
J'viens de faire un mise a jour Antivir et un controle du système mais j'sais pas ca c'est fini je crois et puis j'ai eu ecran bleu ...
j'pouvais pu allez sur mon topic que je vien de faire aussi enfin je sais pas ce qui ce passe mais c'est de pire en pire >-<
need your help !

PS: désolé du double post mais comme on me repond  pas bah j'annonce ce qui m'arrive de plus :'(

Regis59 · Answer

Salut

Comme indiqué, lance Navilog1 en mode sans échec dans la session ou tu étais (Ben?).
Normalement le rapport doit s'afficher.

A+

Lightning · Answer

et je fais comment pour lancer le mode sans échec?
PS: désolé mais j'mis connais pas énormément en informatique :x

Regis59 · Answer

Salut,

Démarrer Windows Vista en mode sans échec permet de faire un démarrage « propre » c'est a dire avec le minimum pour lancer le système d'exploitation

Avec la touche F8

- Au démarrage de l'ordinateur presser successivement (intervalle d'une seconde) la touche F8 jusqu'à arriver au menu de démarrage avancé permettant de sélectionner le Mode sans échec.

- Vous naviguez dans le menu jusqu'à l'option "Mode sans échec" grâce aux flèches de direction.

- Validez avec la touche Entrée.

Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser. 

A+

Nic00 · Answer

SVP me laissé pas en plan comme ca.

Désolé Lightning je ne suis pas censé être à ta disposition 24h/24...

Tu en est où dans tout ça ?

Lightning · Answer

Ni00 désolé mais bon ça m'énerve tellement ce virus que j'aimerais que ça finisse le plus vite possible :x
En tout cas merci de m'aider ^^

Regis Merci pour l'explication mais j'ai réussi a lancer le mode sans échec a la manière brutal (je sais c'est pas bien, mais bon ^^)

Bon finalement le navilog a réussi a faire ce qu'il avait a faire, mais j'crois avoir fait une bétise car ce matin l'ordi me demande si je voulais démarrer l'ordi normalement ou une autre option (qui est recommandée si l'ordi ne c'est pas éteint brutalement du a une coupure de courant ) et a un moment donné il me propose de faire un restauration système et je l'ai faite -_-.
Étant donné que tout c'est passé après la désinfection par navilog je suppose que j'ai remis le virus a cause de la restauration non?

et le rapport de navilog (fixnavi.txt) tu n'en as pas besoin?

En attendant les réponses je vais faire le rapport par Toolbar. 

Encore merci de m'aider !

Nic00 · Answer

Si j'en ais besoin du rapport fixnavi.txt. Et celui de toolbar aussi il faudra le poster.

Lightning · Answer

En attendant que le toolbar se finisse je te poste le fichier de Navilog:


Fix Navipromo version 4.0.1 commencé le 16/07/2009  2:19:18,49

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 14.07.2009 à 14h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  E2140  @ 1.60GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Ben ( Administrator )
BOOT : Fail-safe boot

Antivirus : AVG Anti-Virus Free 8.0 (Activated)


C:\ (Local Disk) - NTFS - Total:327 Go (Free:119 Go)
D:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Recherche executée en mode sans échec

Nettoyage executé en mode sans échec


C:\Windows\prefetch\GAMEGUARD.DES-614F64E0.pf supprimé !
C:\Windows\prefetch\GAMEGUARD.DES-D8F908CB.pf supprimé !
C:\Windows\prefetch\GAMEMON.DES-2FEC3BF3.pf supprimé !
C:\Windows\prefetch\GAMEOVERLAYUI.EXE-82DD85B2.pf supprimé !
C:\Users\Ben\AppData\Local\ggcmcyy.dat supprimé !
C:\Users\Ben\AppData\Local\ggcmcyy_nav.dat supprimé !
C:\Users\Ben\AppData\Local\ggcmcyy_navps.dat supprimé !
C:\Users\Ben\AppData\Local\seqeg_nav.dat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Ben\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !





*** Scan terminé 16/07/2009  3:33:58,11 ***

Nic00 · Answer

Ok, bon ba ça fait déjà un petit paquet de virer ^^

J'attends celui de toolbar, prends ton temps ;-)

Lightning · Answer

Et enfin voilas le rapport de Toolbar, il en a mis du temps X-x

-----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6001 ) Service Pack 1
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  E2140  @ 1.60GHz )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Ben ( Administrator )
   BOOT : Normal boot
   Antivirus : AVG Anti-Virus Free 8.0 (Activated)
   C:\ (Local Disk) - NTFS - Total:327 Go (Free:116 Go)
   D:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [1] ( 16/07/2009|13:49 )

   [ UAC => 0 ]

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\AskBarDis
   C:\Program Files\AskBarDis\bar
   C:\Program Files\AskBarDis\unins000.dat
   C:\Program Files\AskBarDis\unins000.exe
   C:\Program Files\AskBarDis\bar\bin
   C:\Program Files\AskBarDis\bar\Settings
   C:\Program Files\AskBarDis\bar\bin\askBar.dll
   C:\Program Files\AskBarDis\bar\bin\askPopStp.dll
   C:\Program Files\AskBarDis\bar\bin\psvince.dll
   C:\Program Files\AskBarDis\bar\Settings\config.dat
   C:\Program Files\AskBarDis\bar\Settings\config.dat.bak
   C:\Program Files\AskBarDis\bar\Settings\prevCfg2.htm

   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Start Page"="https://www.ask.com/?o=101764&l=dis"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\Ben\Music\Eminem\Relapse\18 Crack a Bottle.wma
   C:\Users\Ben\Music\iTunes\iTunes Music\50 Cent_Dr. Dre_Eminem\Relapse\18 Crack a Bottle.m4a
   C:\Users\Ben\Pictures\Skin En Cours\kisamcrack2xj7.png


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 16/07/2009|17:50 - Option : [1]

   -----------\  Fin du rapport a 17:50:24,54


J'attend tes prochaines indications :)

Nic00 · Answer

Vire tes cracks:

C:\Users\Ben\Music\Eminem\Relapse\18 Crack a Bottle.wma
C:\Users\Ben\Music\iTunes\iTunes Music\50 Cent_Dr. Dre_Eminem\Relapse\18 Crack a Bottle.m4a
C:\Users\Ben\Pictures\Skin En Cours\kisamcrack2xj7.png 


Le Danger des cracks: https://forum.malekal.com/viewtopic.php?t=893&start=

Le crack dans toute sa splendeur: 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

Le P2P et ses conséquences - Journal d'une infection attendue:
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

&#9654;Relances ToolBarSD 
&#9654;Choisis l'option2 ( suppression), 
&#9654;Ne touche à rien pendant la suppression. 
&#9654;A la fin, un rapport est généré, postes le

/ !\ Si tu es sous Vista, veille à ce que le compte des utilisateurs soit désactivé.

Panneau de configuration>comptes utilisateurs>activer/désactiver le contrôle  des comptes utilisateurs>décoche la case puis fais OK 

Tuto: https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html

Lightning · Answer

C:\Users\Ben\Music\Eminem\Relapse\18 Crack a Bottle.wma
C:\Users\Ben\Music\iTunes\iTunes Music\50 Cent_Dr. Dre_Eminem\Relapse\18 Crack a Bottle.m4a
C:\Users\Ben\Pictures\Skin En Cours\kisamcrack2xj7.png 

Ces trois fichiers la ne sont pas des cracks :o
Les deux premiers sont des musiques et le 3ème est une image (ptet confondu avec le nom etant donné qu'il y a les mots crack dedant) surtout que les musiques viennent d'un CD acheté en magasin :s

Sinon je vais faire la suite!

Nic00 · Answer

Ça ne peut pas provenir d'un CD acheté en magasin,: elles n'ont pas le même format:

.wma et .m4a 

Je veux bien te croire que ce ne soit pas des cracks mais si c'est pas le cas ,c'est à tes risques et périls ^^

Fais la suite stp...

Lightning · Answer

Et voilas le rapport !

-----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6001 ) Service Pack 1
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  E2140  @ 1.60GHz )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Ben ( Administrator )
   BOOT : Normal boot
   Antivirus : AVG Anti-Virus Free 8.0 (Activated)
   C:\ (Local Disk) - NTFS - Total:327 Go (Free:116 Go)
   D:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 16/07/2009|18:06 )

   [ UAC => 1 ]

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\AskBarDis\bar
   Supprime! - C:\Program Files\AskBarDis\unins000.dat
   Supprime! - C:\Program Files\AskBarDis\unins000.exe
   Supprime! - C:\Program Files\AskBarDis

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Start Page"="https://www.ask.com/?o=101764&l=dis"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/"
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\Ben\Music\Eminem\Relapse\18 Crack a Bottle.wma
   C:\Users\Ben\Music\iTunes\iTunes Music\50 Cent_Dr. Dre_Eminem\Relapse\18 Crack a Bottle.m4a
   C:\Users\Ben\Pictures\Skin En Cours\kisamcrack2xj7.png


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 16/07/2009|17:50 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 16/07/2009|22:38 - Option : [2]

   -----------\  Fin du rapport a 22:38:22,49


En tout cas ça a l'air de s'améliorer etant donné que Antivir ne détecte plus rien (en tout cas ca me met pas la fênetre d'infection toutes les deux secondes)

Nic00 · Answer

Télécharger et installe Spyware Terminator:
http://www.spywareterminator.com/

Dans un premier temps mets le à jour afin qu'il puisse détecter plus de spywares, surtout les derniers en dates.

    * Clique sur le menu Update à gauche.
    *Clique sur le bouton update, le téléchargement et l'installation des mises à jour va s'effectuer
    *Tu dois ensuite redémarrer l'application, clique sur le bouton Yes pour redémarrer SpywareTerminator
    *Avant de lancer un scan, il est très fortement recommandé d'effectuer celui-ci en mode sans échec. Afin d'augmenter les chances d'éradication des malwares. 

    *Redémarre en mode sans échec : tapotes la touche F8 au démarrage de ton PC

    *Pour lancer un scan, clique sur le menu Scan à gauche
    *Clique sur Full Spyware Scan puis en bas sur le bouton Start Scan Now

# Le scan est alors en cours :

    * Dans la partie haute, tu obtiens les fichiers en cours de scan avec le pourcentage d'avancement du scan
    * Dans la partie basse, les statistiques avec le nombre de fichiers scannés, d'objets identifiés et d'objets critiques.

# Tu peux arrêter le scan en cliquant en bas à droite sur le bouton Abort Scan

    *  Lorsque le scan est terminé,tu obtiens le rapport.
    * Dans l'onglet Threats, les malwares détectés apparaîssent sous forme de liste.

Note: ils sont cochés pour être prêt à être supprimé.

    *  Le bouton view system Report affiche un rapport de scan sous le bloc-note
    * Clique sur le menu Edition puis Sélectionnez tout puis Edition / Copier
    * Viens sur le forum et poste le rapport dans ton prochain message:clic / droit puis coller


    *  L'onglet Safe SW (SW pour SoftWare) affiche la liste des applications détectées comme étant installées sur ton ordinateur par Spyware Terminator et étant légitime. Clique sur le + devant chaque application pour obtenir des informations.
    * L'onglet Unknown SW affiche les applications détectées comme étant installées sur ton ordinateur mais non reconnues par Spyware Terminator, ce ne sont pas forcement des malwares. Si l'application est récente, il peut être inconnue par Spyware Terminator et sera certainement intégrée dans une prochaine mise à jour. Cependant si tu ne connais  pas la provenance de cette application, tu peux faire une recherche sur google pour savoir si celle-ci est légitime ou non.


    *  En cliquant sur le bouton Remove en bas à droite, Spyware Terminator va supprimer tous les malwares et SW que vous aurez cochés dans les différents onglets.
    * Des fenêtres de confirmation de suppression peuvent apparaître
    
Note: le bouton Move to permet :
          => de déplacer une application/fichier détecté comme dangereux dans l'ignore list afin que Spyware Terminator ne la détecte plus lors des prochains scan. 
          => Tu peux aussi déplacer des éléments dans la quarantaine, ceci peut être intéressant dans le cas où tu as des doutes sur une application/fichier mais que vous préférez ne pas la supprimer pour être certains que cela n'ait pas une incidence néfaste sur le système.

Les éléments mis en quarantaine ou en dans l'ignore list sont visualisable à partir des boutons Quarantine et Ignore List à gauche, tu peux retirer un fichier/application à tout moment.

    *  L'onglet Scan Report affiche  un rapport des éléments nettoyés sous forme de liste.
    * Tu peux copier ce rapport dans le bloc-note ou sur le forum. Pour cela, clique sur le bouton en bas à gauche Copy To Clipboard puis dans le bloc-note ou dans un nouveau message du forum, fais un clic / droit puis coller.

   *L'ordinateur peut maintenant être redémarré normalement.


=>Donc: tu fais une analyse avec spyware-terminator et tu me poste le rapport à la fin stp

Regis59 · Answer

Bonjour,

Personnellement je passerais FindyKill ou Flash disinfector...

Voir:
http://www.malekal.com/Worm.Win32.RJump.a.php
https://www.malekal.com/tutorial-findykill/

Troj/RJump-I / Worm.Win32.RJump.a se propage via les disques amoviables.
Ce trojan ouvre un port  TCP entre 12000 et 19000 qui donne accès à  l'ordinateur infecté à un pirate.

Autrement dis, tu as surrement une clé USB et/ou disque dur multimédia qui a/va propager l'infection ailleurs...

A+

Nic00 · Answer

Thx. On va faire FindyKill, j'attends juste le rapport spyware terminator...

Lightning · Answer

Voilas pour le rapport de Spyware ! (désolé de rep que maintenant mais j'me lève tard :p)

Logfile of Spyware Terminator v2.5.8.145 (db:3.007.017.000)
Scan Time: 17/07/2009 13:22:16  length: 146 s
Platform: VISTA (6.0.0.6001)
User: Admin
Boot Mode: Safe
Scan type: Fast_Spyware_Scan
Scanned Objects: 49047 (Critical:4)
Filter: No System items, No Safe items, No Invalid items

Internet Settings
R - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar = http://www.google.com/toolbar/ie8/sidebar.html
R - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page = https://www.msn.com/fr-fr/
R - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyOverride = *.local
R - HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, Domain = 
R - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony, DomainName = 

BHO
02 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -  [Google Inc.] : C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
02 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -  [Google Inc.] : C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
02 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} -  [Packard Bell] : C:\Program Files\Google\Google_BAE\BAE.dll
02 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} -  : C:\Program Files\Free Download Manager\iefdm2.dll

StartUps
04 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SmpcSys :  [Packard Bell BV] : C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
04 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MsnMsgr :  [Microsoft Corporation] : C:\Program Files\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
04 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, BitTorrent DNA :  [BitTorrent, Inc.] : C:\Program Files\DNA\BTDNA.EXE
04 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AutoStartNPSAgent :  [Samsung Electronics Co., Ltd.] : C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, toolbar_eula_launcher :  : C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Skytel :  [Realtek Semiconductor Corp.] : C:\Windows\Skytel.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RtHDVCpl :  [Realtek Semiconductor] : C:\Windows\RtHDVCpl.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RoxWatchTray :  [Sonic Solutions] : C:\Program Files\Common Files\ROXIO SHARED\9.0\SHAREDCOM\ROXWATCHTRAY9.EXE
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ORAHSSSessionManager :  [France Telecom SA] : C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NvSvc :  [NVIDIA Corporation] : C:\Windows\system32
vsvc.dll
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MSPService :  : C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AppleSyncNotifier :  [Apple Inc.] : C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
04 - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs :  [Google] : C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll
04 - Startup: %STARTUP%\Xfire.lnk [Xfire Inc.] : C:\Program Files\Xfire\xfire.exe

Shell Extensions
CLSID_PreviewMime - {92dbad9f-5025-49b0-9078-2d78f935e341} -  [Microsoft Corporation] : C:\Windows\system32\inetcomm.dll
CLSID_PreviewEmail - {b9815375-5d7f-4ce2-9245-c9d4da436930} -  [Microsoft Corporation] : C:\Windows\system32\inetcomm.dll
CLSID_PreviewHtml - {f8b8412b-dea3-4130-b36c-5e8be73106ac} -  [Microsoft Corporation] : C:\Windows\system32\inetcomm.dll
Shell Message Handler - {5FA29220-36A1-40f9-89C6-F4B384B7642E} -  [Microsoft Corporation] : C:\Windows\system32\inetcomm.dll
Microsoft Agent Character Property Sheet Handler - {143A62C8-C33B-11D1-84FE-00C04FA34A14} -  [Microsoft Corporation] : C:\Windows\MSAgent\agentpsh.dll
CompressedFolder - {E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31} -  [Microsoft Corporation] : C:\Windows\system32\zipfldr.dll
Compressed (zipped) Folder Right Drag Handler - {BD472F60-27FA-11cf-B8B4-444553540000} -  [Microsoft Corporation] : C:\Windows\system32\zipfldr.dll
Compressed (zipped) Folder SendTo Target - {888DCA60-FC0A-11CF-8F0F-00C04FD7D062} -  [Microsoft Corporation] : C:\Windows\system32\zipfldr.dll
Compressed (zipped) Folder Context Menu - {b8cdcb65-b1bf-4b42-9428-1dfdb7ee92af} -  [Microsoft Corporation] : C:\Windows\system32\zipfldr.dll
Compressed (zipped) Folder DropHandler - {ed9d80b9-d157-457b-9192-0e7280313bf0} -  [Microsoft Corporation] : C:\Windows\system32\zipfldr.dll
Windows Photo Gallery Viewer Video Verbs - {E598560B-28D5-46aa-A14A-8A3BEA34B576} -  [Microsoft Corporation] : C:\Program Files\Windows Photo Gallery\PhotoViewer.dll
&Windows Media Player - {0a4286ea-e355-44fb-8086-af3df7645bd9} -  [Microsoft Corporation] : C:\Program Files\Windows Media Player\wmpband.dll
 - {BB6B2374-3D79-41DB-87F4-896C91846510} -  [Microsoft Corporation] : C:\Windows\system32\emdmgmt.dll
Windows Photo Gallery Viewer Autoplay Handler - {9D687A4C-1404-41ef-A089-883B6FBECDE6} -  [Microsoft Corporation] : C:\Windows\system32\RUNDLL32.EXE
Portable Media Devices - {640167b4-59b0-47a6-b335-a6b3c0695aea} -  [Microsoft Corporation] : C:\Windows\system32\audiodev.dll
PhotoAcqDropTarget - {00f20eb5-8fd6-4d9d-b75e-36801766c8f1} -  [Microsoft Corporation] : C:\Program Files\Windows Photo Gallery\PhotoAcq.dll
Windows Photo Gallery Viewer Image Verbs - {FFE2A43C-56B9-4bf5-9A79-CC6D4285608A} -  [Microsoft Corporation] : C:\Program Files\Windows Photo Gallery\PhotoViewer.dll
Tablet PC Input Panel - {15D633E2-AD00-465b-9EC7-F56B7CDF8E27} -  [Microsoft Corporation] : C:\Program Files\Common Files\microsoft shared\ink\TipBand.dll
Windows gadget DropTarget - {6b9228da-9c15-419e-856c-19e768a13bdc} -  [Microsoft Corporation] : C:\Program Files\Windows Sidebar\sbdrop.dll
Microsoft Office OneNote Namespace Extension for Windows Desktop Search - {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} -  [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\ONFILTER.DLL
Mes dossiers de partage - {FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} -  [Microsoft Corporation] : C:\Program Files\Windows Live\Messenger\fsshext.8.5.1302.1018.dll
WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} -  : C:\Program Files\WinRARarext.dll
iTunes - {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} -  [Apple Inc.] : C:\Program Files\iTunes\iTunesMiniPlayer.dll

Protocol Filters
Google Dictionary Compression filter - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} -  [Google Inc.] : C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

Protocol Handler
 - {828030A1-22C1-4009-854F-8E305202313F} -  [Microsoft Corporation] : C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
MHTML Asynchronous Pluggable Protocol Handler - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -  [Microsoft Corporation] : C:\Windows\system32\inetcomm.dll
Microsoft Infotech Storage Protocol for IE 4.0 - {0A9007C0-4076-11D3-8789-0000F8105754} -  [Microsoft Corporation] : C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
 - {828030A1-22C1-4009-854F-8E305202313F} -  [Microsoft Corporation] : C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll

Services
23 - [GEAR Software Inc.] : C:\Windows\system32\Drivers\GEARAspiWDM.sys
23 - [Microsoft Corporation] : C:\Windows\system32\DRIVERS\msiscsi.sys
23 - [Microsoft Corporation] : C:\Windows\system32\DRIVERS\mssmbios.sys

Advanced Files Report
%SystemDiskRoot%\?\globalroot\systemroot\system32\geyekrvddxhvpp.dll
%PROGRAMFILES%\SOFTWARE INFORMER\SOFTINFO.EXE
%TEMP%\b.exe
%WINDIR%\AdobeR.exe
%PROGRAMFILES%\Xfire\xfire.exe [Xfire Inc.] [Xfire] MD5=9CA2FA4558A27172180A2BC1E068DBD8 SIZE=3190096
%PROGRAMFILES%\AVG\AVG8\Toolbar\IEToolbar.dll
%PROGRAMFILES%\Google\Google Toolbar\GoogleToolbar.dll [Google Inc.] [Google Toolbar for Internet Explorer] MD5=B2A3EE0D6570BAE9BD90892E0009A6AB SIZE=259696
%SYSDIR%\inetcomm.dll [Microsoft Corporation] [Microsoft® Windows® Operating System] MD5=D9D2BD831C93EAA7CE7BEC712ED2081E SIZE=738304
%WINDIR%\MSAgent\agentpsh.dll [Microsoft Corporation] [Microsoft Agent Property Sheet Handler] MD5=F0B6186AEB591642784D6FFDC2D625BC SIZE=30720
%SYSDIR%\zipfldr.dll [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=F41857E440A9DF3FD5A543C8B2A53048 SIZE=342016
%PROGRAMFILES%\Windows Photo Gallery\PhotoViewer.dll [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=2AAD5D8541ABFD8EC8877773291250AC SIZE=2314240
%PROGRAMFILES%\Windows Media Player\wmpband.dll [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=E7369CA015162EF4F9E207897EF7DED8 SIZE=99328
%SYSDIR%\emdmgmt.dll [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=70B1A86DF0C8EAD17D2BC332EDAE2C7C SIZE=565248
%SYSDIR%\RUNDLL32.EXE [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=4B555106290BD117334E9A08761C035A SIZE=44544
%SYSDIR%\audiodev.dll [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=67C30FAFA58BD7E02A9DA8BE28512934 SIZE=244224
%PROGRAMFILES%\Windows Photo Gallery\PhotoAcq.dll [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=B5D79B4F81DAA75BBB3DD9F481ADF41B SIZE=1030144
%COMMONFILES%\microsoft shared\ink\TipBand.dll [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=A8F2BB769FA35F9C2867746B671EB662 SIZE=114688
%PROGRAMFILES%\Windows Sidebar\sbdrop.dll [Microsoft Corporation] [Système d'exploitation Microsoft® Windows®] MD5=A74701976D6D75099B9FCA993685C452 SIZE=66048
%PROGRAMFILES%\Microsoft Office\Office12\ONFILTER.DLL [Microsoft Corporation] [Microsoft Office OneNote] MD5=23CD837C3E94BAF99C0B327C660D1DA6 SIZE=74800
%PROGRAMFILES%\Windows Live\Messenger\fsshext.8.5.1302.1018.dll [Microsoft Corporation] [Messenger] MD5=8BDE1F61DFBAAE7A2916170E8B75FE0F SIZE=329240
%PROGRAMFILES%\WinRARarext.dll MD5=023707D932BA31314210E6844D33D500 SIZE=129024
%PROGRAMFILES%\iTunes\iTunesMiniPlayer.dll [Apple Inc.] [iTunes] MD5=C86F66DC60DA034BAA3D7DECD9980951 SIZE=124200
%SYSDIR%\svchost.exe -k NetworkService
%SYSDIR%\svchost.exe -k DcomLaunch
%SYSDIR%\svchost.exe -k LocalServiceNetworkRestricted
%SYSDIR%\Drivers\GEARAspiWDM.sys [GEAR Software Inc.] [CD DVD Filter] MD5=F2F431D1573EE632975C524418655B84 SIZE=23400
%SYSDIR%\DRIVERS\msiscsi.sys [Microsoft Corporation] [Microsoft® Windows® Operating System] MD5=F247EEC28317F6C739C16DE420097301 SIZE=181304
%SYSDIR%\DRIVERS\mssmbios.sys [Microsoft Corporation] [Microsoft® Windows® Operating System] MD5=E384487CB84BE41D09711C30CA79646C SIZE=31288
%SYSDIR%\svchost.exe -k netsvcs
%SYSDIR%\svchost.exe -k rpcss
%SYSDIR%\svchost.exe -k secsvcs
%SYSDIR%\mscoree.dll [Microsoft Corporation] [Microsoft® .NET Framework] MD5=24084D13982FFE48C5BF931F1E5DD707 SIZE=282112
%PROGRAMFILES%\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll [Microsoft Corporation] [Messenger] MD5=56319E6B4D190A2DEB4463A9CE4D4F74 SIZE=66072
%COMMONFILES%\Microsoft Shared\Information Retrieval\msitss.dll [Microsoft Corporation] [Microsoft(R) Infotech Information Storage System Library] MD5=BBFF7F0AC61F8A29241BC00B3785CCB0 SIZE=230760

End of Report

Nic00 · Answer

Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : 
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

/!\Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

=>Double-clique sur l’icône.
=>Les icônes vont disparaître. C’est normal.
=>Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
=>Redémarre ensuite le PC. 

Ensuite,

Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus


/!\Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvriravant de lancer ce FIX

=>Fais un clic droit sur le fichier .ZIP > Extraire sur -> le Bureau
=>Double-clique sur  RAV.exe afin de lancer l'outil.
=>Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
=>Si infection il y a: un log s'établira, sinon le soft affichera ->Votre Ordinateur est sain .
=>Retire tes disques amovibles et redémarre ton ordinateur.
=>Poste le rapport, si infection.

Lightning · Answer

J'suis vraiment obligé de faire tout ça?
Étant donné que le seul truc qui a de branché par usb est ma clef wifi. Sinon j'ai rien branché en usb depuis mon infection

Nic00 · Answer

Oui de préférence..

Lightning · Answer

Bon bah le 1er je l'ai pas fait puisque Antivir a détecté des virus quand je l'ai téléchargé et le deuxième me dit que l'ordinateur est sain !
Voilas

Nic00 · Answer

C'est un outil de désinfection pas un virus tu peux ignorer l'alerte d'antivir

Lightning · Answer

Ah bah maintenant lca m'affiche Erreur de Chargement de la page ^^
Au pire RAV.exe a rien detécté donc c'est bon non?

Nic00 · Answer

On va vérifier avec FindyKill.

&#9654; Télécharge FindyKill de Chiquitine29 sur ton bureau : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

/!\Déconnecte toi et ferme toutes applications en cours /!\ 

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .
 
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654; Laisse travailler l'outil et ne touche à rien ... 

=> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

Lightning · Answer

Voilas le rapport !


############################## | FindyKill V5.003 |

# User : Ben (Administrateurs) # PC-DE-BEN
# Update on 17/07/09 by Chiquitine29
# Start at: 16:30:45 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Pentium(R) Dual  CPU  E2140  @ 1.60GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 327,35 Go (114,8 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32undll32.exe
C:\Windows\system32	askeng.exe
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\Xfire\xfire.exe
C:\Windows\System32undll32.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\FsUsbExService.Exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Windows\System32\alg.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\System32
otepad.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\Ben\AppData\Roaming |


################## | C:\Users\Ben\Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "UacDisableNotify" 0x1  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# (!) Uac = 0x0 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.003 ! |

Nic00 · Answer

/!\ Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "éxécuter en tant qu'administrateur"
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 
• Le pc va redémarrer automatiquement ...

&#9654; le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

Lightning · Answer

Voilas pour le rapport:

############################## | FindyKill V5.003 |

# User : Ben (Administrateurs) # PC-DE-BEN
# Update on 17/07/09 by Chiquitine29
# Start at: 16:57:35 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Pentium(R) Dual  CPU  E2140  @ 1.60GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 327,35 Go (115,78 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32unonce.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\conime.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\FsUsbExService.Exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Windows\System32\alg.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-B9E72D89.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\Ben\AppData\Roaming |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Value ! [HKLM\software\microsoft\security center] "UacDisableNotify" -> Reset sucessfully !  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.003 ! |

Nic00 · Answer

Colle un nouveau rapport RSIT stp.

Lightning · Answer

y a qu'un fichier Log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Ben at 2009-07-17 20:06:38
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 119 GB (35%) free of 335 GB
Total RAM: 2047 MB (27% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:04, on 17/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\System32undll32.exe
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\Xfire\xfire.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32undll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\FFWorld Triple Triad\FFWTT.exe
C:\Users\Ben\Desktop\RSIT.exe
C:\Program Files	rend micro\Ben.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ask.com/?o=101764&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - *{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSPService] C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [RavAV] C:\Windows\AdobeR.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [Cognac] C:\Users\Ben\AppData\Local\Temp\b.exe
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

Lightning · Answer

Comme je peux pas edit j'fais un nouveau message (désolé)

J'voulais ajouter que, avant d'avoir RSIT Antivir ne ce manifestait presque pu a cause du cheval de troie, et après avoir fait le rapport RSIT (celui de mon post juste avant) le virus refait des sienne et ce lance assez souvent (peut etre pas aussi souvent qu'au tout début mais de manière assez gênante quand même)

Voilas je post ceci au cas ou cela pourrais vous aider

Nic00 · Answer

Fais ce qui suit:

>>Démarrer >>Tous les programmes >> Accessoires >>Bloc-notes
>>Copie /colle le contenu exacte (celui en dessous en gras) de la citation dans le Bloc-Note et sauvegarde le sous Fix.reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RavAV"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Cognac"=-

>>Ferme le bloc-notes
>>Double-clique sur Fix.reg et valide.

/!\ N'oublie pas, lorsque tu renommes en Fix.reg, de bien tout renommer de manière à ce qu'il ne soit pas en .txt



&#9654;Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau : 
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ 
&#9654;Double-clique sur OTMoveIt.exe pour le lancer. 
&#9654;Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée 
&#9654;Copie / colle les lignes suivantes dans la fenêtre de gauche de OTMoveIt nommé "Paste List of Files/Folders to be moved".

:Processes
explorer.exe

:Files
c:\windows\adober.exe
c:\users\ben\appdata\local	emp\b.exe
c:\windows\system32\msxml71.dll
c:\windows\system32\gamemon.des

:Commands 
[emptytemp] 
[Reboot]
[start explorer] 


&#9654;Clique sur MoveIt! pour lancer la suppression. 
&#9654;Si OTMoveIt propose de redémarrer ton PC, accepte. 
&#9654;Lorsque un résultat apparaît dans le cadre Results, clique sur Exit. 

&#9654;Dans ta prochaine réponse, envoie le rapport de OTMoveIt situé ici: C:\_OTMoveIt\MovedFiles

Regis59 · Answer

Désolé de mettre mon grain de sel...mais:
O4 - HKCU\..\Run: [Cognac] C:\Users\Ben\AppData\Local\Temp\b.exe 

Détecté comme ceci par MBAM:
 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> No action taken.

Donc:
http://siri.urz.free.fr/Fix/ChangeLog.php

Version 2.355 (September 24, 2008)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cognac"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cognac"=- 

Smitfraudfix semble plus approprié :-)

Tchuss amigo !

Nic00 · Answer

Moui pas faux mais au final...

Je ne préfère pas éditer au cas où aurait déjà commencé.
Mais c'est vrai que smitfraudfix s'en charge. ;-)

Lightning · Answer

Bon bon bon ... voilas j'ai deux fichier text dans le dossier que tu m'as dit les voilas:

Le premier:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder c:\windows\adober.exe not found.
File/Folder c:\users\ben\appdata\local	emp\b.exe not found.
c:\windows\system32\msxml71.dll unregistered successfully.
c:\windows\system32\msxml71.dll moved successfully.
c:\windows\system32\GameMon.des moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Ben
->Temp folder emptied: 39781349 bytes
->Temporary Internet Files folder emptied: 4325552 bytes
->Java cache emptied: 27600306 bytes
->FireFox cache emptied: 93028061 bytes
->Apple Safari cache emptied: 196823 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 538680 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 157,84 mb
 
 
OTM by OldTimer - Version 3.0.0.5 log created on 07172009_220031

Et le deuxième:

Files moved on Reboot...

Registry entries deleted on Reboot...


Et je prévient aussi que l'ordi n'arrivant pas a redémarrer normalement, j'ai du faire une restauration système,
J'explique, en fait j'ai lancé ton programme, j'l'ai laissé faire il redémarre et au redémarrage il me demande si il faut que je fasse un démarrage normal de windows ou prise en charge réseau, comme je sais qu'a la prise en charge reseau il allait me demandé un restauration système j'ai fait un démarrage normal, et la bah j'avais mon écran noir (je suppose que l'explorateur window se lançait pu) et avec plein de fenêtre me disant j'suis infecté par le cheval de troie. donc je redémarre je fait démarrage par prise en charge réseau, l'ordi ce rallume et a peine redémarré j'ai encore plein de messages disant que je suis infecté par ce même cheval de troie !

Voilas

Nic00 · Answer

Ok, et le bloc-notes tu l'as fais ?

J'ai encore un doute la-dessus c:\users\ben\appdata\local	emp\b.exe donc on va faire SmitFraudFix comme me l'avais fais remarqué Régis...


&#9654;Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) : 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

&#9654;Déconnecte-toi, ferme toute tes applications et désactive tes défenses ( anti-virus, anti-spyware,...) le temps de la manip !! 

&#9654;Installe le logiciel à la racine de C:\ ( et pas ailleurs! --->"C\:SmitfraudFix.exe ») . 

Tuto (aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php 

&#9654;Double clique sur SmitfraudFix.exe
&#9654; Double clique sur l'icône "Smitfraudfix.exe" , sélectionne 1 puis appuie sur la touche "Entrée".
&#9654;Patiente jusqu’à la fin de l’analyse de ton PC.
&#9654;Poste le rapport («rapport.txt" qui se trouve sous C\ :)

Lightning · Answer

Voilas le rapport :
SmitFraudFix v2.423

Scan done at 12:07:11,23, 18/07/2009
Run from C:\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32undll32.exe
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Windows\System32undll32.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\FsUsbExService.Exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\alg.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Windows\explorer.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\System32
otepad.exe
C:\SmitfraudFix\Policies.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Ben


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Ben\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Ben\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Ben\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A03F23EA-AB69-434F-97C8-6843005AABEE}: DhcpNameServer=10.0.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE99A2DF-99F3-4258-BA86-2DE56199A6C4}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BADE7D36-FE55-422A-86BF-CD0E5D4FEECC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A03F23EA-AB69-434F-97C8-6843005AABEE}: DhcpNameServer=10.0.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE99A2DF-99F3-4258-BA86-2DE56199A6C4}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BADE7D36-FE55-422A-86BF-CD0E5D4FEECC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

EDIT: Pour le bloc note oui je l'avais fait :p

Nic00 · Answer

Ok, pas besoin de l'option 2.


Clique sur Démarrer puis Exécuter
Tape ceci dans la petite fenêtre qui s’est ouverte :

cmd

Dans la fenêtre cmd noire qui s’affiche, tape ceci :

sc stop npggsvc
sc delete npggsvc

Puis tape sur Entrée.
Ferme ensuite la fenêtre noire. 


>> Télécharge et installe Malawarebytes’Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

>> Laisse le se mettre automatiquement à jour. 
>>Une fois mis à jour, le programme va se lancer. Va dans l´onglet Paramètres, et coche la case : "Arreter internet explorer pendant la suppression".
>>Retourne ensuite sur l’onglet  Recherche
>> Choisis « Exécuter un examen complet » en cliquant dessus. 
>> Clique sur Rechercher 

>> Patiente jusqu’à la fin du scan…..une fenêtre s’ouvrira, clique alors sur OK 

>> Si MalwareByte's n'a rien détecté, clique sur Ok. Un rapport va apparaître ferme-le. 

>> Si MalwareByte's a détecté des infections, clique sur Afficher les résultats puis sur Supprimer la sélection 

>> Enregistre le rapport sur ton Bureau pour le trouver plus facilement.
>>  Poste ensuite ce rapport. 

Note : 
•	Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok
•	Les rapports sont aussi rangé dans l onglet  rapport/log


Poste un nouveau rapport RSIT également stp.

Lightning · Answer

Voilas dans un 1er post le rapport malware :

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2456
Windows 6.0.6001 Service Pack 1

18/07/2009 14:06:47
mbam-log-2009-07-18 (14-06-47).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 240353
Temps écoulé: 1 hour(s), 7 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Cognac (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\WinRAR\Default.SFX (Spyware.Banker) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Lightning · Answer

Et voilas pour le Rapport RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Ben at 2009-07-18 14:12:33
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 118 GB (35%) free of 335 GB
Total RAM: 2047 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12:52, on 18/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32undll32.exe
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Windows\System32undll32.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Users\Ben\Desktop\RSIT.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files	rend micro\Ben.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ask.com/?o=101764&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - *{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing)
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSPService] C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

Nic00 · Answer

Refais une étape avec OTMOVEIT3:

&#9654;Double-clique sur OTMoveIt.exe pour le lancer. 
&#9654;Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée 
&#9654;Copie / colle les lignes suivantes dans la fenêtre de gauche de OTMoveIt nommé "Paste List of Files/Folders to be moved".

:Processes
explorer.exe

:Files
C:\Windows\system32	mp.txt
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]

:Commands 
[emptytemp] 
[Reboot]
[start explorer] 


&#9654;Clique sur MoveIt! pour lancer la suppression. 
&#9654;Si OTMoveIt propose de redémarrer ton PC, accepte. 
&#9654;Lorsque un résultat apparaît dans le cadre Results, clique sur Exit. 

&#9654;Dans ta prochaine réponse, envoie le rapport de OTMoveIt situé ici: C:\_OTMoveIt\MovedFiles

Rends toi ici: C:\Program Files	rend micro\Ben.exe  et double-clique sur Ben.exe.

Choisis Do a system scan only au menu principal, coche ces lignes:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: (no name) - *{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing) 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll    

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll (file missing) 

O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O8 - Extra context menu item: Crawler Search - tbr:iemenu 

O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)


O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

clique sur Fix checked


>> Télécharge CCleaner: 
http://download.piriform.com 

>Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour. 

> Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 

>Pour les autres paramètres, laisse-le avec ses réglages par défaut. 

> Puis dans le menu Nettoyeur 
> Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois) 
> Clique sur le bouton Lancer le nettoyage. 
> Clique une seconde fois sur le bouton Lancer le nettoyage 
> Fait de même pour le menu "Chercher des erreurs"
=>A faire régulièrement. 


-->Mets à jour K-Lite Codec Pack:

http://www.commentcamarche.net/telecharger/telecharger 140 k lite codec pack full

Lightning · Answer

Alors au niveau de Ben.exe il y a certain fichier que tu m'as donné a coché mais qui n'y etait pas (il y en avait 3 je sais pu les quels (t'facon les but de la manip c'etait de les supprimer non? Donc c'est pas plus mal :p )

Ensuite tu m'as dis de faire ca :

>> Télécharge CCleaner:

Le problème est que le lien que tu me donnes ne marche pas (pas de téléchargement) 

Et voilas le rapport OTMoveIt :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Windows\system32	mp.txt moved successfully.
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe moved successfully.
C:\PROGRA~1\Crawler\Toolbar\ctbr.dll unregistered successfully.
C:\PROGRA~1\Crawler\Toolbar\ctbr.dll moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Ben
->Temp folder emptied: 2330258 bytes
->Temporary Internet Files folder emptied: 6405682 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 85643372 bytes
->Apple Safari cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 529388 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 90,51 mb
 
 
OTM by OldTimer - Version 3.0.0.5 log created on 07182009_153114

Files moved on Reboot...

Registry entries deleted on Reboot...

En ce qui concerne le virus je vais te donner ce qu'il affiche en général :

C:\Wibdows\System32\geyekrvddxhvpp.dll
Contient le cheval de Troie TR/CryptRedol.17920.2.1

Voilas j'espère que ca peut t'aider ^^

Lightning · Answer

Toujours besoin d'aide !

Nic00 · Answer

Colle un rapport avec ton antivirus stp

Lightning · Answer

Pour coller un rapport avec mon antivirus faut bien que je fasse un contrôle du système intégral?

Si oui, impossible de le lancer ! Je sais pas pourquoi mais mon pc m'affiche plein de programme qui répondent plus et ça se fini par un écran bleu ... j'ai essayé 2-3 fois a chaque fois pareil >-<

J'attend tes conseils ...

Nic00 · Answer

Fais un scan en ligne avec bitdefender:

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Regis59 · Answer

Si l'écran bleu revient, tu peux nous dire ce qui est indiqué dessus?

Merci

Lightning · Answer

j'vien donc de faire l'analyse avec bit defender et y a pas eu de bug ou d'ecran bleu.

Sinon j'ai copier/coller ca mais je sais pas si c'est ce que tu veux:

BitDefender - Fichier journal 

Produit : BitDefender Total Security 2009
Version : BitDefender UIScanner v.12
Tâche d'analyse : Analyse complète
Date du journal : 22/07/2009 15:07:47
Chemin du journal : C:\ProgramData\BitDefender\Desktop\Profiles\Logs\full_scan\1248268067_1_01.xml

Analyse des chemins :Chemin 0000: C:\

Options d’analyse :Détecter les virus : Oui
Détecter les adwares : Oui
Détecter les spywares : Oui
Analyser les applications : Oui
Détecter les dialers : Oui
Détecter les rootkits : Oui

Options de sélection de cible :Analyser les clés du registre : Oui
Analyser les cookies : Oui
Analyser les secteurs de boot : Oui
Analyser les processus mémoire : Oui
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les e-mails : Non
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées : 
Extensions exclues : 

Traitement de la cible :Action par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucune
Action par défaut pour les objets camouflés : Aucune
Action par défaut pour les objets infectés : Aucune
Action par défaut pour les objets suspects encryptés : Aucune
Action par défaut pour les objets protégés par mot de passe : Enregistrer comme non analysé

Résumé de l'analyseNombre de signatures de virus : 3829804
Plugins archives : 45
Plugins e-mail : 6
Plugins d'analyse : 13
Plugins système : 5
Plugins de décompression : 7

Résumé de l'analyse généraleEléments analysés : 111966
Eléments infectés : 2
Eléments suspects : 0
Eléments résolus : 2
Éléments non résolus : 0
Eléments protégés : 0
Éléments ultra-compressés : 0
Virus individuels trouvés : 2
Répertoires analysés : 19248
Secteur de boot analysés : 0
Archives analysés : 6
Erreurs I/O : 78
Temps d'analyse : 01:11:43
Fichiers par seconde : 25

Résumé des processus analysésAnalysé : 68
Infecté : 0

Résumé des clés de registre analyséesAnalysé : 1204
Infecté : 0

Résumé des cookies analysésAnalysé : 32
Infecté : 0

Problèmes résolusNom de l'objet Nom de la menace État final 
C:\_OTM\MovedFiles\07172009_220031\windows\system32\msxml71.dll Trojan.Generic.2177771 Supprimé 
C:\Users\Ben\Documents\LimeWire\Incomplete\T-5966561-where is love black eyes peace new single.mp3 Trojan.Wimad.Gen.1 Désinfecté 


Si c'est pas ca le bon rapport dis moi ou le trouvé stp ^^

Nic00 · Answer

Ok, arrives tu as lancé ton antivirus personnel maintenant ?

Lightning · Answer

Alors j'ai testé de lancer le contrôle de système intégral par avira antivir et ça m'a encore remis l'écran bleu.
Alors j'ai noté ce qui avait d'écrit:

"Aproblem has been detected and windows has been shut down to prevent damage to your computer.
KERNEL_STACK_INPAGE_ERROR
If this is the forst time you've seen this stop error screen, restart your computer. If this screen appears again, follow these steps:
Check to make sure any new ardware or soft ware is properly installed.
If this is a new installation, ask your hardware or software manufacturer for any windows updates you might need.
If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart your computer, press F8 to select Advanced Startup options, and then select safe mode.
Technical information:
***STOP :0x00000077 (0x00000001,0x00650079,0x00000000,0x811F0B78)
Collecting data for crash dump ...
Initializing disk for crash dump ...
Beginning dump of physical memory
Dumping physical memory to disk :100
Physical memory dump complete.
Contact your systeme admin or technical support group for further assistance.

Voilas !

Et après cet écran bleu j'ai redémarré mon pc sauf que quand je l'ai fait redémarré (j'ai choisi de redémarré windows normalement) j'ai eu un écran noir avec un truc qui me disais qu'il vérifiait le disque C:/ et y avait des pourcentages, et il me semble qu'il a réparé des erreurs supprimé d'autres ... enfin ça allait assez vite alors j'ai pas eu le temps de tout comprendre !

Lightning · Answer

Bon bah finalement j'ai formaté mon disque dur j'ai perdu ptet tout ce que j'avais au niveau de mes fichiers mais au moins j'ai réglé le prob du virus du cheval de Troie et mes prob de ralentissement (surement liés au virus)

Voilas, merci pour votre aide !

Nic00 · Answer

Ok.
Vu le message d'erreur c'était préférable que tu reformates.
Si tout est réglé mets en résolu sinon fais signe

Cheval De Troie BackDoor.Generic11.ZNE

57 réponses

Votre réponse

Discussions similaires

Newsletters