Erreurs explorer et runtime, norton schizo

Résolu
Charlotte -  
 lulu -
Bonjour/ Bonsoir,

Voila, depuis un petit moment deja, mon pc est ultra lent, le message "explorer.exe a rencontré un probleme et doit fermé" est plus que courant, et l'alerte de sécurité windows m'alarme dangereusement depuis que j'ai installé le pack SP2 "norton antivirus signale qu'il est installé mais son statut est inconnu".
Il semble pourtant tout a fait à jour.
J'ai tenté de faire une analyse en mode sans echec esperant que norton me trouverait un petit virus (ce qui aurait expliqué tout ça), mais il n'a rien trouvé, et le message "runtime error! program : C:\Program files\fichiers communs\symantec shared\NMAIN.EXE This application requested the runtime to terminate in an unusual way" est apparu à chaque fois que j'ouvrais norton.

J'ai fait une analyse sur secuser.com qui m'a trouvé des mechants virus trojan mais qui n'a pas pu tous les effacer. Pendant ce temps, Norton continue a ne rien trouver...

Malgré mes analyses adaware quotidiennes qui me retrouvent systematiquement les memes saloperies (client man,...), mes pages web s'accompagnent souvent des mêmes pop-up (promotion pour des anti spywares ou pub anglosaxonnes pour des medicaments commercialisés sur le net)...

Bref, j'ai l'impression qu'il n'y a rien à faire pour me débarasser de tous ces trucs qui pourissent mon pc. Et tout ça me desespère...

Je vous en supplie, aidez moi et dites moi qu'il existe une solution!!

Un grand merci d'avance à celles ou ceux qui tenteront d'eclairer ma lanterne...
Configuration: Microsoft Windows XP, version 2002, Service Pack 2.
Celeron(R) CPU 2.60GHz
2.59GHz, 256 Mo de RAM

15 réponses

  1. moe
     
    salut charlotte

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lance le puis:
    clic sur "do a system scan and save logfile"
    fais un copier coller du log entier sur le forum.

    a+
    0
  2. Charlotte
     
    merci moe, voilà ce que donne mon analyse hijackthis :

    Logfile of HijackThis v1.98.2
    Scan saved at 23:08:36, on 17/03/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton Internet Security\NISUM.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\apps\ABoard\ABoard.exe
    C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Messenger Plus! 3\MsgPlus.exe
    C:\Program Files\Windows ServeAd\WinServAd.exe
    C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
    C:\apps\ABoard\AOSD.exe
    C:\WINDOWS\system32\MAFWTray.exe
    C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
    C:\Program Files\Norton Internet Security\ccPxySvc.exe
    C:\Program Files\Windows ServeAd\WinServSuit.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Documents and Settings\chacha\Mes documents\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NC NUMERICABLE
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
    O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
    O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
    O4 - HKLM\..\Run: [msmc] C:\WINDOWS\system32\msmc.exe
    O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe
    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
    O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msdioo.exe
    O4 - HKCU\..\Run: [DealHelperDown] "C:\Documents and Settings\chacha\Local Settings\Temp\ms7.tmp"
    O4 - HKCU\..\Run: [cnet] "C:\Program Files\Kontiki\bin\kontiki.exe" -s cnet -q
    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: Interface Chat Voila - http://chat4.x-echo.com/version5/Applet/vchatsign.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
    O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
    O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1017_FR_XP.cab
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=88fb4bd1cc748615aaf24d95e9cbeb3358724ab481f8e3efaa749926ff7d88d97236971755bdeddb0fd3efedf2024d26208d:a50669a8a42fe77354145ae90fecae62
    O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
    O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097396786515
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {86D39A6A-E180-4FC4-970A-F54BCEC22E69} (Inflater Class) - http://astrortl.axime.com/rtl2/gratuit/dialer/RepUpdater/InstallDialerV3.cab
    O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} - http://www.installengine.com/engine/isetup.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    0
  3. moe
     
    Salut charlotte

    Avant de faire quoi que ce soit, important:

    Est ce que tu peux fire analyser ce fichier ici:
    http://virusscan.jotti.org/
    C:\WINDOWS\system32\MAFWTray.exe

    -> Met à jours tes logiciels de protection:
    antivirus, antispywares(spybot, ad-aware...), firewall

    -> Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    cocher " afficher les fichiers et dossiers cachés "
    décocher " masquer les extentions des fichiers dont le type est connu
    décocher " masquer les fichiers protégés du système"

    -> désactive la restauration systéme
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".

    Puis:
    - Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)

    ---------------------------------------------

    Lance hijackthis et Fixe:
    (cocher au début de chaques lignes valider avec fix checked)

    O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
    O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
    O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
    O4 - HKLM\..\Run: [msmc] C:\WINDOWS\system32\msmc.exe
    O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msdioo.exe
    O4 - HKCU\..\Run: [DealHelperDown] "C:\Documents and Settings\chacha\Local Settings\Temp\ms7.tmp"
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=88fb4bd1cc748615aaf24d95e9cbeb3358724ab481f8e3efaa749926ff7d88d97236971755bdeddb0fd3efedf2024d26208d:a50669a8a42fe77354145ae90fecae62
    O16 - DPF: {86D39A6A-E180-4FC4-970A-F54BCEC22E69} (Inflater Class) - http://astrortl.axime.com/rtl2/gratuit/dialer/RepUpdater/InstallDialerV3.cab
    O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} - http://www.installengine.com/engine/isetup.cab

    Si detecté mauvais par le scan en ligne
    O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe

    Rechercher et supprimer si présent:

    C:\WINDOWS\system32\msmc.exe
    C:\WINDOWS\System32\msdioo.exe
    C:\Program Files\ClientMan
    C:\Program Files\WildTangent
    C:\Program Files\Windows ServeAd
    C:\Documents and Settings\chacha\Local Settings\Temp\ms7.tmp
    C:\foo.mht
    sp.exe
    cdaEngine0400.dll


    Si detecté mauvais par le scan en ligne
    C:\WINDOWS\system32\MAFWTray.exe

    Ensuite:

    Vide tes fichiers temporaires internet et les cookies:

    - panneau config> options internet> supprimer les fichiers, coche supprimer le contenu hors connection et valide ok
    - panneau config> options internet> supprimer les cookies

    Les fichiers temporaires:

    - C:\Document and setting\pour tous les dossiers\Local setting \Temp <=supprimer les fichiers à l'intérieur (pas les dossiers)

    - C:\Windows\Temp <=supprimer les fichiers à l'intérieur.

    - C:\WINDOWS\Prefetch <=supprimer les fichiers à l'intérieur sauf layout.ini

    - Vide la poubelle

    -----------------------------

    Profite d'être en mode sans echecs pour lancer le scan de ad-aware, spybot... et supprime tout ce qu'ils trouvent.

    Redemarre normalement et reposte un log hijack pour vérifier l'évolution

    Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers

    a+
    0
  4. Charlotte
     
    C:\WINDOWS\system32\MAFWTray.exe correspond à une interface audio que j'ai installé sur mon ordi, un genre de 4pistes numerique, pas de souci il n'est pas dangereux.

    Je vais faire tout ce que tu m'a conseillé dans ton message maintenant. merci.
    J'ignore comment ça se fait mais, le site me fait suivre les emails que tu envoies sur le forum et celui ci etait accompagné de deux virus que je ne peux pas effacer... genial...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moe
     
    salut

    Est ce que quand tu as crée ton 1er post tu as coché "recevoir les reponses par email" .
    je voudrais préciser, que je ne t'ai jamais envoyé aucun mails.

    a+
    0
    1. Charlotte
       
      oui j'ai coché cette case, je me doute que le mail que j'ai reçu n'est pas de toi, l'expediteur est "comment ça marche"... mais l'intitulé etait reponse de moe.. bref, je vais essayer de réparer tout ça. Je viens d'imprimer tes conseils, je passe en mode sans echec, et si ça continue je desinstallerai norton et je le reinstallerai, on dirait qu'il a des soucis..
      Pour informations, les virus que j'ai reçu (les 2 memes) sont bloodhound.exploit.6

      merci encore
      0
  7. moe
     
    J'avais eu à faire, il y a quelques temps à bloodhound 6 en me demandant ce que c'était.
    regarde ici:
    http://www.commentcamarche.net/forum/affich-1257194-bloodhound6-et-startpage

    a+
    0
    1. Charlotte
       
      merci encore moe d'essayer de trouver une solution a tout ça..
      voici mon log hijackthis apres ttes tes recommandations, en esperant que... :


      Logfile of HijackThis v1.98.2
      Scan saved at 20:48:34, on 18/03/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\Explorer.EXE
      C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\apps\ABoard\ABoard.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
      C:\apps\ABoard\AOSD.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Messenger Plus! 3\MsgPlus.exe
      C:\WINDOWS\system32\MAFWTray.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton Internet Security\NISUM.EXE
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      C:\Program Files\Norton Internet Security\ccPxySvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\chacha\Mes documents\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NC NUMERICABLE
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - (no file)
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
      O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
      O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
      O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
      O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
      O4 - HKCU\..\Run: [cnet] "C:\Program Files\Kontiki\bin\kontiki.exe" -s cnet -q
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
      O16 - DPF: Interface Chat Voila - http://chat4.x-echo.com/version5/Applet/vchatsign.cab
      O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
      O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
      O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
      O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1017_FR_XP.cab
      O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
      O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
      O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097396786515
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      0
  8. moe
     
    re

    coche et fixe celle la:
    O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1017_FR_XP.cab

    sinon ca a a l'air ok, si ce n'est que beaucoup de prog inutiles se lancent au demarrage.
    http://www.informatruc.com/applications_demarrage.php
    Par exemple ceux ci sont inutiles:
    [CleanEasyImg] c:\apps\easydvd\cleanall.exe
    [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe
    [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    [cnet] "C:\Program Files\Kontiki\bin\kontiki.exe" -s cnet -q

    tu peux faire un scan AV en ligne ici, pour vérifier que tout est ok:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here" Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clic sur "Scan my PC".

    Si tout est ok, réactive la restau systeme.
    Sinon, fais un copier/coller du rapport de Ravantivirus ici.

    a+
    0
  9. Charlotte
     
    J'ai fait le scan antivirus et j'en ai trouvé trois.. au secours

    Scan started at 19/03/2005 14:27:14

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\WINDOWS\secureb.html - Trojan:HTML/Harnig.A* -> Infected
    C:\WINDOWS\system32\eglivecam.exe - TrojanDownloader:Win32/Wintrim.BN -> Infected
    C:\WINDOWS\system32\mseggo.gif - Trojan:Win32/Delf.DX -> Infected

    Scanned
    ============================
    Objects: 67556
    Directories: 5565
    Archives: 7271
    Size(Kb): 193075
    Infected files: 3

    Found
    ============================
    Viruses found: 3
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 207
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    redemarre en mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
    -------
    ensuite
    assure toi de ceci
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer
    -----------
    recherche et suppr les exe en gras
    C:\WINDOWS\secureb.html
    C:\WINDOWS\system32\eglivecam.exe
    C:\WINDOWS\system32\mseggo.gif

    redemarre et scan pour verif
    0
  11. Charlotte
     
    J'ai trouvé les trois fichiers en question et je les ai effacé, c'est peut etre une connerie...
    0
  12. Charlotte
     
    (je suis pas passé en mode sans echec pour les effacer, faut que je recommence tout?)
    0
  13. moe
     
    salut charlotte

    Ben, si tu as reussi à les effacer en mode normal, pas de problemes.
    refais un scan chez rav, pour t'assurer que tout est clean

    a+
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    cela devrait etre bon
    le sans echec permet de suppr des fichiers qui sont demarrer et ne peuvent pas etre suppr en mode normal
    0
  15. lulu
     
    moi aussi j'ai un problème de ce genre. Pourrais tu m'aider??
    je suis sous Windows XP home SP2
    ça commence des que je démarre le PC. Un message apparait : Microsoft virutal basic, run time library
    programmasfiles/fichiers comuns/symantechared/ccEvtMgr.exe "pure virtual function call".

    Depuis que j'ai installé le pack NIS 2005. De plus pas moyen d'ouvrir NIS il se bloque. Je biaise via un icône sur la barre outil internet et je vois dans l'état des statuts "Norton : erreur, firewall désactivé" et bien évidemment pas moyen de la es modifier !!

    SVP aidez moi !!
    0