Pc sous XP viruséRésolu/Fermé

Question

Bonsoir,
Mon PC est virusé depuis deux jours environ. J'ai suivi divers conseils trouvés ici et là sur ce forum...sans grand succès, car le virus réapparaît. Chaque fois que je me connecte à internet, malgré le firewall, le pc redémarre tout seul sans arrêt. Je ne peux me connecter que en mode sans échec. Je me suis donc connectée de cette façon, fait des scans en ligne, supprimé plusieurs fichiers infectieux...quand mon compte utilisateur a l'air clean, après un scan, je me reconnecte normalement et ça recommence.

J'ai donc une question, peut-être stupide mais enfin peut-être cela peut-il marcher : j'ai deux comptes sur mon ordinateur, un "normal", celui qui apparaît quand j'allume mon pc, et un autre, qui n'apparaît que en mode sans échec, et les deux ont apparemment des droits administrateurs. Le compte "invisible", qui est nommé (par défaut j'imagine) administrateur, semble toujours impeccable et sans virus. Voilà donc ma question :
Est-ce possible de supprimer la session "normale" d'utilisateur ? Est-ce que cela permettrait de supprimer définitivement le virus par la même occasion ? L'idée serait d'en créer une nouvelle qui serait donc propre et sans virus...

Est-ce que cela est possible, ou le virus risque-t-il de se propager dans la nouvelle session quand même ?

J'espère que vous comprendrez mon message, c'est peut-être un peu brouillon et je m'en excuse d'avance, mes connaissances en informatiques sont super limitées...
Merci d'avance aux bonnes âmes qui essaieront de m'aider : )

Iris · Accepted Answer

Ben merci beaucoup en tout cas d'avoir ressuscité mon PC ! C'est trop fort Ric025 Merci :)
Bizes et ciao ;-)

Mermozzz · Answer

Non mais un virus peut se stocker que  dans un fichier sur le disque dur.
1: Scan ton pc avec un anivirus
2:Efface la session qui bug
Voila

Utilisateur anonyme · Answer

Salut !

        *  Télécharge Random's system information tool (RSIT) et enregistre le sur ton bureau.
    * Double clique sur RSIT.exe pour lancer l'outil.
    * Clique sur ' continue ' à l'écran Disclaimer.
    * Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.


( C:\RSIT\log.txt & C:\RSIT\info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Iris · Answer

Salut !
Merci à vous deux pour votre aide !

Lainvi, j'ai suivi tes conseils et voici le premier rapport :

Logfile of random's system information tool 1.06 (written by random/random)
Run by moh at 2009-08-22 00:16:22
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 8 GB (26%) free of 30 GB
Total RAM: 2047 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:16:29, on 22/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe
C:\Program Files\RegCleaner\RegCleanr.exe
C:\Program Files\RegCleaner\RegCleanr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\moh\Bureau\RSIT.exe
C:\Program Files	rend micro\moh.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" -TRAY
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [LClock] C:\Program Files\LClock\LClock.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1202660629-1229272821-682003330-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrateur')
O4 - HKUS\S-1-5-21-1202660629-1229272821-682003330-500\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Administrateur')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: ikowin32.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Unknown owner - C:\Program Files\Kerio\Personal Firewall\persfw.exe (file missing)

Utilisateur anonyme · Answer

Re, 

J'ai pas une bonne nouvelle, tu es multi infecté et dans le lot tu as une infection braviax.

Cette infection peut prendre beaucoup de temps pour être supprimée, commence par regarder si tu as le cd d'XP sous la main, il peut être utile !!

Je n'ai pas le temps de m'occuper de ton infection, j'ai des obligations ce week-end. 

J'ai fais appel à un helper qui va prendre ton problème en main.

Bon courage et bon wwek-end !

ric025 · Answer

Bonne nuit Alain, pense à m'envoyer des cartes postales ...:'((

:))

@Iris, bonsoir ! ;)

/!\ A l'attention de ceux qui passent sur ce sujet : L'outil qui suit ne doit pas être utilisé sans avis /!\

/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\

Télécharge ComboFix (de sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE !.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)

-->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

++

Iris · Answer

Salut !
Désolée je viens de voir vos messages ! Tout d'abord merci infiniement Lainvi et Ric025 à tous les deux pour votre aide, c'est véritablement gentil de votre part de m'apporter vos lumières sur le sujet ! : )

Pour braviax, il ne s'agit pas du vrai virus...le vrai fichier a été effaçé après un scann en ligne. Je ne sais pas si j'ai bien fait, mais j'ai confié mon ordi à un ami, et il a eu l'idée de créer des fichiers en lecture seule avec le même nom que le virus pour l'empêcher de recréer des fichiers dans ces répertoires, et il a désactivé la restauration système pour l'empêcher de se régénérer...je ne sais pas si tout ça peut tromper le virus, je n'ai pas encore rédémarré mon ordi...Peut-être réapparaîtra-t-il encore après ?...

Pour l'heure, je vais suivre vis conseils attentivement, je vais lancer le scann Combofix maintenant et je posterai ça demain à la première heure Ric025 :D
Merci de m'aider en tout cas :)

ric025 · Answer

Salut.

Fais ceci :

&#x25B6; Télécharge Malwarebytes Anti-Malware (MBAM):

MBAM

&#x25B6; Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

&#x25B6; Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

&#x25B6; Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

&#x25B6; Poste le rapport généré. 

++

Iris · Answer

Voilà le dernier rapport Mbam :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2675
Windows 5.1.2600 Service Pack 2 (Safe Mode)

22/08/2009 15:05:34
mbam-log-2009-08-22 (15-05-34).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 160353
Temps écoulé: 9 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\moh\Menu Démarrer\Programmes\Démarrage\ikowin32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

ric025 · Answer

Tu ne peux pas démarrer en mode normal ?

• Télécharge et installe UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

• Double clique sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

• Laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


++

Iris · Answer

Re-salut Ric025 !
Merci pour ton conseil, voilà le rapport ci-dessous. Je peux me connecter normalement à mon compte utilisateurs, mais quand je le faisais il y a deux jours avec le câble internet branché, le pc redémarrait. Je n'ose pas essayer pour le moment :(


############################## | UsbFix V6.020 |

User : moh (Administrateurs) # HOME-AC0CC65C11
Update on 20/08/09 by Chiquitine29
Start at: 15:55:54 | 22/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Genuine Intel(R) CPU            2140  @ 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 29,29 Go (10,08 Go free) # NTFS
D:\ -> Disque fixe local # 268,79 Go (145,18 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 968,23 Mo (680,48 Mo free) [AMILDA] # FAT
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.020 ! |

ric025 · Answer

Essaie quand même !! :)

Puis poste un nouveau rapport RSIT stp. Tu ne devrais avoir que "log.txt", poste-le. :)

++

Iris · Answer

Salut Ric025 ! Merci pour ta rapidité !

Bon j'avais vraiment peur mais j'ai suivi ton conseil et pour l'instant tout se passe bien ! Pas de redémarrage c'est vraiment cool !!! Mais bon ne crions pas victoire trop tôt, voilà le rapport demandé : :D

Logfile of random's system information tool 1.06 (written by random/random)
Run by moh at 2009-08-22 16:16:08
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 10 GB (34%) free of 30 GB
Total RAM: 2047 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:14, on 22/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Trojan Remover\Trjscan.exe
C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Documents and Settings\moh\Bureau\RSIT.exe
C:\Program Files	rend micro\moh.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\LClock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: ikowin32.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Unknown owner - C:\Program Files\Kerio\Personal Firewall\persfw.exe (file missing)

ric025 · Answer

Ok, fais ceci :

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Iris, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier http://sd-1.archive-host.com/membres/up/21362097671547645/Iris.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un fichier CFScript.txt se trouve à l'intérieur et se place sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur cette image)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici &#8594; C:\ComboFix.txt 


Puis fais suivre d'un nouveau RSIT ! ;)

Je quitte pour l'instant, je reviens plus tard. 

++

Iris · Answer

Oki vilà c'est fait ! Merci encore pour ton aide c'est très sympa Ric025 :)

Logfile of random's system information tool 1.06 (written by random/random)
Run by moh at 2009-08-22 18:17:10
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 10 GB (34%) free of 30 GB
Total RAM: 2047 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:11, on 22/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\Documents and Settings\moh\Bureau\RSIT.exe
C:\Program Files	rend micro\moh.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: ikowin32.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Unknown owner - C:\Program Files\Kerio\Personal Firewall\persfw.exe (file missing)

ric025 · Answer

Re,

J'ai du faire une erreur de copié-collé dans le script. As-tu le dernier rapport Combofix ?

++

Iris · Answer

Hello !
Désolée de ne répondre que maintenant ! Apparemment, Aschampoo a eu un problème et internet était bloqué jusqu'à ce que je le désinstalle !
Est-ce que tu parle du rapport que Combofix a généré en dernier, lorsque j'ai fait la manipulation que tu avait décrit en dernier dans tes instructions ?

ric025 · Answer

C'est ce rapport, oui.

ric025 · Answer

Certainement un mot qui bloque. 

Essaie d'héberger ton rapport : http://www.cijoint.fr/

++

ric025 · Answer

Re.

  OTM :

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------

:processes
explorer.exe

:files
C:\Documents and Settings\moh\Menu Démarrer\Programmes\Démarrage\ikowin32.exe 

:commands
[purity]
[emptytemp]
[start explorer]
 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTM\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

++

ric025 · Answer

Non, ce n'est pas normal ! :)

Tu peux me poster un nouveau rapport RSIT stp ?

++

Iris · Answer

Désolée d'être venue si tard !

Voilà le rapport : je suppose que tu es peut-être déjà au lit, alors je te dit merci encore et à demain :D

Logfile of random's system information tool 1.06 (written by random/random)
Run by moh at 2009-08-23 00:08:59
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 10 GB (34%) free of 30 GB
Total RAM: 2047 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:09:02, on 23/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\moh\Bureau\DL Div\RSIT(2).exe
C:\Program Files	rend micro\moh.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Unknown owner - C:\Program Files\Kerio\Personal Firewall\persfw.exe (file missing)

ric025 · Answer

Re.

Quand tu reviendras : 

  OTM :
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------

:processes
explorer.exe

:files
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\braviax.exe.vir 
C:\WINDOWS\PEV.exe

:commands
[start explorer]


-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTM\MovedFiles.

=================

Nettoyage des outils:

&#x25B6; Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau:

Toolscleaner

&#x25B6; Clique sur Recherche et laisse le scan se terminer.

&#x25B6; Clique sur Suppression pour finaliser.

&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer.

&#x25B6; Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\). 

=================

&#x25B6; Télécharge CCleaner, version Slim, sans toolbar:

CCLEANER

&#x25B6; Va dans "Options">>"Avancé". Décoche la première ligne.

&#x25B6; Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!

&#x25B6; Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.

/!\ A ce moment CCleaner te demande normalement de sauvegarder le registre, fais-le. /!\

&#x25B6; Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche. 

===================

Poste un nouveau rapport Hijackthis et précise tes soucis, si encore présents. 

HijackThis :

&#x25B6; Télécharge hijackthis

&#x25B6; Tout est expliqué sur ce site web pour l'installer et l'utiliser correctement.

Bonne nuit, à demain ! ;)

++

ric025 · Answer

Que dit le mode normal ?

Es-tu attachée à Avast ?

++

Iris · Answer

Salut ! :D
Désolée je viens de voir ton message :) En mode normal tout va bien. Depuis tout à l'heure je navigue sur internet, je me ballade sur les fichiers du pc et pas un plantage c'est trop la classe :)
Pas de rédémarrage intempestif, pas de ralentissement ça marche nickel :D
Je crois que ce que tu m'as fait faire en dernier était très radical ! On dirait qu'il n'y plus de souci. :) 
Y a un truc qui me préoccuppe cependant : quand mon pc démarre, il y a deux fichier dans le répertoire windows qui se créent à chaque fois : wiaservc.log et wiadebug.log, est-ce normal ? 

Par contre je n'ai plus avast, il est désinstallé depuis un moment...je n'ai ni antivirus ni firewall, je ne sais pas lesquels sont bien en fait. Ashampoo a un problème alors qu'il fonctionnait correctement jusque-là, il bloque internet quand je l'installe et ne se lance pas...

ric025 · Answer

Très bien. Alors, pour terminer, il me faudra un rapport Hijackthis en mode normal. :)

Il reste donc des traces d'Avast, voici ce que je te recommande :

Pour retirer Avast: https://www.avast.com/fr-fr/uninstall-utility

Pour voir pourquoi retirer Avast: https://forum.malekal.com/viewtopic.php?f=45&t=11659

Pour avoir un meilleur AV : https://www.avira.com/fr/downloads

Et pour voir comment tout cela fonctionne: http://forum.malekal.com/ftopic4192.php 

===================

Tu pourras faire un scan avec Antivir et poster le rapport ! :)

===================

Pour un Firewall ->-> https://www.commentcamarche.net/telecharger/securite/17093-pc-tools-firewall-plus/

Simple, discret... :)

===================

As-tu le lien exact de ces fichiers ? Tu me dis qu'ils se recréent à chaque démarrage, donc tu as tenter de les supprimer ?

++

Iris · Answer

Excuse-moi de répondre si tard :(
Je vais faire tout ce que tu as dit, pour avast et antivir et le reste :D
Merci encore pour tout tes précieux conseils, on s'y perd facilement avec tout ces antivirus...-_-'
Je posterai le rapport hijackthis demain, en espérant que cette fois est la bonne :D

Pour les deux fichiers, je les retrouve dans C:\windows. Malwarebytes les signalait comme virusés et les mettait en quarantaine. Une fois supprimés, ou même en quarantaine, ils reviennent...
Ca m'inquiète parce que c'est ce que malwarebytes avait trouvé en tout premier il y quelques jours...Maintenant, il ne les détecte plus et ne semble plus les considérer néfastes...bref ça m'embrouille totalement O_O

A demain Ric025, si tu as encore la patience de te pencher sur le cas de mon pc super-passionnant :D
Et merci encore :)

ric025 · Answer

Re.

Ok on verra la fin demain. Grâce à Hijackthis, on pourra finaliser.

Pour les fichiers, si tu peux les retrouver sur le pc, on pourra les analyser pour voir,mais je ne pense pas qu'ils soient néfastes.

On verra demain ! :)

Bonne nuit.

++

Iris · Answer

Et voilà, derniers rapport avira et Hijackthis !
Apparemment, avira a détecté des trucs et n'a pas pu tout enlever (mais là je te laisse faire, c'est toi le spécialiste de lecture de rapport ;) )
Ensuite j'ai téléchargé le firewall que tu a recommandé. Apparemment, spyware doctor se télécharge avec. Il m'a repéré 137 (!) infections, non grave selon lui, sauf un truc, PVM_dialer que je ne trouve d'ailleurs nulle part dans mes fichiers. Comme il me demande d'acheter la version complète pour désinfecter, je me demande s'il s'agit d'un logiciel vraiment honnête ? Peut-être devrais-je réinstaller le firewall sans cette application ?
D'autant qu'il me signal SDFix comme un spybot o_O'

Bref voilà les rapports que tu attendais :D

http://www.cijoint.fr/cjlink.php?file=cj200908/cij070GMxR.zip

ric025 · Answer

Salut.

Oui, j'oublie  chaque fois !! :/

Tu peux désinstaller Spyware Doctor ! :)

Je regarde les rapports et je reviens ! :)

++

Iris · Answer

Oki je patiente merci ;)
J'ai désinstallé spytruc :D

ric025 · Answer

Re.

Honte à moi, je t'avais oubliée !! :/

Tu peux vider la quarantaine d'Antivir, c'est ok.

Pour hijackthis, comme je te disais, j'aurais bien voulu un scan en mode normal. Tu peux maintenant le poster sur le forum. A moins que le mode normal ne soit toujours pas stable ??

++

Iris · Answer

Y a pas de souci Nic025 :D
En fait, le scan, je l'ai fait en mode normal ! :) Je comprends pas, il y a peut-être un truc que j'ai mal fait ?
J'ai fait "do a system scan and save a logfile".
Veux-tu que je le refasse ?

Iris · Answer

Mince ! je t'ai envoyé le mauvais rapport désolée ! :'(

voilà le bon :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:51, on 24/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files	rend micro\HijackThis\hjt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: GemSAFE Card Server - Gemplus - C:\Program Files\Gemplus\GemSafe Libraries User\BIN\GCardSrvNT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Unknown owner - C:\Program Files\Kerio\Personal Firewall\persfw.exe (file missing)

ric025 · Answer

Re ! ;)

Le rapport est clean, as-tu encore des soucis ?

As-tu bien passé l'utilitaire de suppression Avast ?

++

Iris · Answer

Salut Ric025 !

Je viens de redémarrer mon pc, sinon l'utilitaire de suppression est sans effet ! Ca y est et ça marche nickel chrome !! :D 
Et en plus mon ordi n'est pas lent au démarrage comme quand j'avais avast et sunbelt ! :D
Bref, je peux que te remercier pour tout, tes précieux conseils, ta patience, ta disponibilité  !!! :)
Merci d'avoir ressuscité mon pc :)

A l'avenir, je ferais plus attention et ne le prêterai plus à mon frère ! ;-)

Bref, merci beaucoup je crois que tout re fonctionne impeccablement bien !

Y a les pirates du net, et bien apparemment, on a aussi les anges du net ! C'est toi et les autres helpers ! Merci à vous c'est vraiment trop gentil d'aider les gens comme ça :D

ric025 · Answer

Ok, c'est très bien, mais ne pars pas si vite ! :))

Supprime ces dossiers en gras :

C:\Program Files\Kerio
C:\Program Files\Alwil Software

Relance Hijackthis, choisis cette fois l'option "Do a system scan only". La liste créée, coche les lignes suivantes :

O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\WinHTTrack\WinHTTrackIEBar.dll (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://ushousecall02.trendmicro.com/

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9064133A-F54E-48A8-ABDD-CED1FF4A1876} (Iplay Control) - http://kazugame.fordev-studio.com/Elypse/Install/Elypse_Installer.cab 

Clique sur "Fix Checked"

===================

Redémarre ton pc, si tout est ok, passe à la suite, sinon redis-moi. 

===================

Supprime Hijackthis. 

!! Très Important !!

Supprimer les anciens points de restauration:

&#x25B6; Clique droit sur "Poste de travail".
&#x25B6; Clique sur "Propriétés".
&#x25B6; Clique sur l'onglet "Restauration du système".
&#x25B6; Coche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".
&#x25B6; Redémarre le pc.

&#x25B6; Clique droit sur "Poste de travail".
&#x25B6; Clique sur "Propriétés".
&#x25B6; Clique sur l'onglet "Restauration du système".
&#x25B6; Redécoche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".

Les points sont supprimés.

Création d'un nouveau point:

&#x25B6; Clique sur "démarrer", "tous les programmes", "Accessoires" puis "Outils système". 
&#x25B6; Clique sur "Restauration du système".
&#x25B6; Dans la nouvelle fenêtre, coche la case "Créer un point de restauration".
&#x25B6; Clique sur "Suivant".
&#x25B6; Entre un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection...")
&#x25B6; Clique sur "Créer" et le point de restauration se créé automatiquement.

=============

Pour une navigation plus sûre et plus rapide:

tu peux naviguer avec Firefox.

Addon à ajouter à firefox pour le sécuriser:

&#x25B6; Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/
&#x25B6; Explications/Demo ici : http://www.mywot.com/fr/demo

+ ceux-ci: https://www.malekal.com/securiser-le-navigateur-web-firefox-2/

=============

Utile, à lire absolument, quelques minutes de prévention, notamment sur les cracks : https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf 

=============

Si tu n'as plus de question et/ou problème, pour moi, c'est ok! (Si tu as encore des questions, n'hésite pas ! )

++

Iris · Answer

Oki il reste du boulot en fait :D O_O'
Je fais tout ça et je te recontacte :) demain au plus tard :)
Merci ric025 ;-)

ric025 · Answer

Pas de soucis ! :)

Tu verras, c'est presque rien, plus impressionnant qu'autre chose ! :)

Ok, alors prends ton temps, si tu as des questions, n'hésite pas.

Iris · Answer

Salut !

J'espère que ce n'est pas trop tard pour te donner les résultats :)
Ca y est, j'ai fait tout ce que tu as dit, j'ai installé le bidule de firefox pour naviguer en toute sécurité, supprimé ce que tu as dit et fait le point de restauration system. ;)

J'ai même tout lu la tite biblio sur les virus et les dangers dont je n'avais en fait aucune idée O_o'...

ALors j'ai quand deux petites questions si tu permets :

Quand je démarre mon pc, il me dit "autocheck.exe not found-skipping autocheck", c'est important ?
Sinon, il y aussi ça : j'ai voulu désinstaller Hijackthis dans "ajout/suppression de programmes" mais quand je clique dessus rien n'apparaît, la liste n'est pas là, j'ai juste une fenêtre qui s'ouvre sans rien dedans...
Je sais pas si c'est important mais bon je signale au cas où :)

Voilà sinon ça marche terriblement bien, sans ralentissements, et tout et tout :D

ric025 · Answer

Salut. :)

Quand je démarre mon pc, il me dit "autocheck.exe not found-skipping autocheck", c'est important ?

Fais un clic-droit sur ton bureau et choisis "Nouveau" puis "Document texte".

Copie l'intégralité du texte ci-dessous, en gras dans ce fichier: 
=============================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
  00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00

==============================================
Clique ensuite, en haut, sur "Fichier" puis "Enregistrer sous..."

Dans la fenêtre qui s'ouvre, saisis ces informations : 

Nom du fichier : BootExecute.reg
Type : Tous les fichiers

Clique sur "Enregistrer"

Tu as à présent un fichier .reg sur ton bureau. Double-clique dessus et accepte la modification. Redémarre et dis-moi si tu as toujours le message d'erreur.

++

Iris · Answer

Bonsoir Ric025 :D

J'ai fait ce que tu as dit, mais le message apparaît toujours :(
A la différence que maintenant, il m'affiche ceci :

systemroot\windows\system32\autocheck.exe file not found, skipping aotocheck, alors qu'avant ile ne m'indiquait rien du tout comme chemin de fichier...

ric025 · Answer

Salut.

Tu as ton CD Windows ?

Fais ceci : 

Clique sur Démarrer >> Exécuter

Tape "regedit" (sans les guillemets).

Dans la fenêtre qui s'ouvre, clique sur les petits + de HKEY_LOCAL_MACHINE puis de SYSTEM puis de ControlSet001 puis de Control.

Arrivée ici, clique sur le nom : Session Manager

Regarde à droite, "Bootexecute". 

Dans la colonne "données", vérifie que tu as bien "autocheck autochk *"(l'espace entre autochk et * est important).

Puis fais un clic-droit sur "BootExecute" et choisis "Modifier données binaires". Regarde si le tableau est correctement rempli suivant celui_ci : http://www.cijoint.fr/cjlink.php?file=cj200908/cijncTXbOs.jpg Sinon, corrige les valeurs.

++

Iris · Answer

Bonsoir Ric025 !
ça y est, j'ai suivi toutes les instructions que tu m'a données, et le message a disparu ! (^_^) !

ric025 · Answer

Coucou.

Cool ! :)

Il restait quoi ? Le soucis avec Hijackthis,que je n'ai pas bien saisi. Et les deux fichiers inconnus. 

Pour tes fichiers, rien de grave ! :) 

++

Iris · Answer

Oki merci ^_^
Pour hijackthis, c'était juste que quand j'ai voulu le désinstaller, j'ai été dans ajout-suppression de programmes et que le panneau ne s'affiche pas, il n'y a pas la liste des programme : c'est un carré blanc que je vois comme ça :

https://www.imagup.com

Le reste du panneau fonctionne, il n'y a que la liste des programme qui ne s'affiche plus :(
J'espère que je suis plus claire cette fois :D

ric025 · Answer

Ah ok ! 

Ton Windows a apparemment souffert un peu ! :) Si jamais tu vois d'autres erreurs par la suite, tu peux revenir sur cette discussion sans problème ! :)

Pour réparer ça :

- Clique sur Démarrer, sur Exécuter.
- À l'invite, tape REGSVR32 APPWIZ.CPL puis "ENTREE"

Clique sur "OK" lorsqu'il est signalé que l'opération a réussi. 

Essaie de relancer l'ajout/suppression de programmes et redis-moi. :)

Iris · Answer

Ca y est c'est revenu ;-)

ric025 · Answer

Encore des soucis ?

Iris · Answer

En fait, ils apparaissent après cinq  minutes c'est grave ?

ric025 · Answer

Non, cela peut prendre en effet un peu de temps avant que les programmes apparaissent. Tu peux décocher la case des mises à jour, cela allègera un petit peu ! :)

Je quitte le forum pour ce soir. Navigue un peu avec ton pc et redis-moi si tu vois encore des problèmes ! :)

Bonne nuit ! ;)

Iris · Answer

Oki ! Je vais m'en servir un peu et je te dis demain ! :)
Je te souhaite une bonne nuit ! ;)

Iris · Answer

Salut c'est encore moi ;-)

Ben je me suis servie de mon pc un peu toute la journée, et ça fonctionnait bien jusqu'à maintenant.
Il y a des bugs épouvantables : quand je clique sur un dossier, c'est un autre qui s'ouvre, et des icônes du bureau disparaissent d'un coup : le poste de travail en particulier, et d'autres trucs qui s'y trouvaient...
:( et le pc ralentit subitement sans explications (en même temps j'y connais pas grand'chose alors pour l'expliquer :D)...

ric025 · Answer

Coucou.

Bon, ça semble bien étrange. 

* Télécharge OTL de OLDTimer et enregistre le sur ton Bureau :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

* Double clique sur OTL.exe pour le lancer.
* Coche les 2 cases Lop et Purity
* Coche la case devant "scan all users"
* Clique sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

Pour me le transmettre, ne le poste pas, passe par ci-joint :

http://www.cijoint.fr/


++

Iris · Answer

Hi Ric025 ;

C'est fait, j'ai posté le rapport ici :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijsn29w4h.txt

:)

ric025 · Answer

Salut. 

Je ne vois rien... 

Tu peux passer MBAM et me poster le rapport ?

++

Iris · Answer

Voilà mbam rapport, mais je crois que tout est normal O_o' :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2675
Windows 5.1.2600 Service Pack 2

28/08/2009 20:10:13
mbam-log-2009-08-28 (20-10-13).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 130030
Temps écoulé: 23 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

ric025 · Answer

Et toujours les mêmes soucis ?

Iris · Answer

Bonjour,
Salut ! :)
Nan je crois que tout va bien cette fois. Le pc ne bugue plus, il fonctionne correctement ce coup-ci ! :D

ric025 · Answer

Re.

Je te dis à bientôt. Je m'absente pour quelques semaines. 

Bon surf. 

++

Pc sous XP virusé

60 réponses

Newsletters