Problème avec un cheval de Troie Fermé

Question

Bonjour,de retour de vacances j'ai eu le plaisir de constater que mon pti frère avait fait n'importe quoi avec mon ordi et du coup j'ai un cheval de Troie. J'ai lancé antivir,Malwayrebytes,nccleaner et cccleaner plusieurs fois mais rien n'y fait. Aidez moi par pitié! Voici mon dernier rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:16, on 21/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Tall Emu\Online Armor\oasrv.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32
vsvc32.exe
D:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\WINDOWS\VM_STI.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32undll32.exe
D:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
D:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
D:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe
D:\WINDOWS\system32\WgaTray.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
D:\WINDOWS\winhlp32.exe
D:\Documents and Settings\Pierre\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
D:\Program Files\EoRezo\EoEngine.exe
D:\Documents and Settings\Pierre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
D:\Documents and Settings\Pierre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
D:\Documents and Settings\Pierre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
D:\Documents and Settings\Pierre\Mes documents\Downloads\HiJackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - D:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - D:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - D:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - D:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [BigDogPath] D:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] D:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [EoEngine] "D:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [SoftwareHelper] D:\Documents and Settings\Pierre\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "D:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Google Update] "D:\Documents and Settings\Pierre\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMidi] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMidi] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Desktop Search.lnk = D:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://D:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32
wprovau.dll
O16 - DPF: Yahoo! Freecell Solitaire - http://presence.games.yahoo.com/yog/y/fs10_x.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - D:\Program Files\Tall Emu\Online Armor\oasrv.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

dmaestro · Answer

Bonjour Merci de me rediriger les rÃ©ponses obtenues! Je suis dans le meme cas!!!! Impoossible de bosser!!!

Utilisateur anonyme · Answer

bonjour
tu as eorezo, c'est mauvais
Télécharge AD Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe 
Désactive l'anti-virus

Déconnecte toi et ferme toutes les applications en cours

Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )

Double clique sur AD Remover pour le lancer
Au menu principal choisi l'option L
Poste le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall

oubiouba2 · Answer

enlève malware bytes et place spybot search and destroy(effectue sa mise à jour)
effectue un scan

sinon tu dois te placer en mode sans echec(f5 ou f8 au demarrage avant windows) et scanner avec ton antivirus

pierre31 · Answer

ok voilà le rapport:

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_V | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 18/09/2009 à 9:00 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:20:11, 22/09/2009 | Mode Normal | Option: CLEAN
Exécuté de: D:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: PIERRE- | Utilisateur actuel: 
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
HKCU\Software\EoRezo 
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9} 
HKLM\Software\Classes\AppID\EoRezoBHO.DLL 
HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5} 
HKLM\Software\Classes\EoRezoBHO.EoBho 
HKLM\Software\Classes\EoRezoBHO.EoBho.1 
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E} 
HKLM\Software\EoRezo 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5} 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{08165EA0-E946-11CF-9C87-00AA005127ED}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoftwareHelper
. 
D:\Documents and Settings\Pierre\Application Data\EoRezo 
D:\Documents and Settings\Pierre\Application Data\EoRezo\cmhost.cyp 
D:\Documents and Settings\Pierre\Application Data\EoRezo\ConfMedia.cyp 
D:\Documents and Settings\Pierre\Application Data\EoRezo\ConfMedia.cyp.old 
D:\Documents and Settings\Pierre\Application Data\EoRezo\db 
D:\Documents and Settings\Pierre\Application Data\EoRezo\eoStats 
D:\Documents and Settings\Pierre\Application Data\EoRezo\host.cyp 
D:\Documents and Settings\Pierre\Application Data\EoRezo\SoftwareUpdate 
D:\Documents and Settings\Pierre\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe 
D:\Documents and Settings\Pierre\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe 
D:\Documents and Settings\Pierre\Application Data\EoRezo\SoftwareUpdate\unins000.dat 
D:\Documents and Settings\Pierre\Application Data\EoRezo\SoftwareUpdate\unins000.exe 
D:\Documents and Settings\Pierre\Application Data\EoRezo\SoftwareUpdate\user_config.cyp 
D:\Documents and Settings\Pierre\Application Data\EoRezo\user.cyp 
D:\Program Files\EoRezo 
D:\Program Files\EoRezo\ConfMedia.cyp 
D:\Program Files\EoRezo\EoAdv 
D:\Program Files\EoRezo\EoAdv\atl90.dll 
D:\Program Files\EoRezo\EoAdv\EoAdv.dll 
D:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll 
D:\Program Files\EoRezo\EoAdv\mfc90.dll 
D:\Program Files\EoRezo\EoAdv\Microsoft.VC90.ATL.manifest 
D:\Program Files\EoRezo\EoAdv\Microsoft.VC90.CRT.manifest 
D:\Program Files\EoRezo\EoAdv\Microsoft.VC90.MFC.manifest 
D:\Program Files\EoRezo\EoAdv\msvcr90.dll 
D:\Program Files\EoRezo\EoEngine.exe 
D:\Program Files\EoRezo\eoEngine.url 
D:\Program Files\EoRezo\EoMultiLanguage.dll 
D:\Program Files\EoRezo\EoRezoComm.dll 
D:\Program Files\EoRezo\EoRezoImg_17.dll 
D:\Program Files\EoRezo\EoRezoImg_19.dll 
D:\Program Files\EoRezo\EoRezoImg_20.dll 
D:\Program Files\EoRezo\EoRezoImg_21.dll 
D:\Program Files\EoRezo\EoRezoImg_22.dll 
D:\Program Files\EoRezo\EoRezoImg_23.dll 
D:\Program Files\EoRezo\EoRezoTools_16.dll 
D:\Program Files\EoRezo\EoRezoTools_17.dll 
D:\Program Files\EoRezo\EoRezoTools_18.dll 
D:\Program Files\EoRezo\EoRezoTools_20.dll 
D:\Program Files\EoRezo\EoRezoTools_21.dll 
D:\Program Files\EoRezo\EoRezoTools_26.dll 
D:\Program Files\EoRezo\EoRezoTools_27.dll 
D:\Program Files\EoRezo\EoRezoTools_28.dll 
D:\Program Files\EoRezo\EoRezoTools_29.dll 
D:\Program Files\EoRezo\EoRezoTools_30.dll 
D:\Program Files\EoRezo\FreeImage.dll 
D:\Program Files\EoRezo\Host.cyp 
D:\Program Files\EoRezo\lang 
D:\Program Files\EoRezo\lang\ihm_eoclock.xml 
D:\Program Files\EoRezo\lang\ihm_eoengine.xml 
D:\Program Files\EoRezo\lang\ihm_eonet.xml 
D:\Program Files\EoRezo\lang\ihm_eorezotools.xml 
D:\Program Files\EoRezo\lang\ihm_eosudoku.xml 
D:\Program Files\EoRezo\lang\ihm_eoweather.xml 
D:\Program Files\EoRezo\lang\lang_en.xml 
D:\Program Files\EoRezo\lang\lang_es.xml 
D:\Program Files\EoRezo\lang\lang_fr.xml 
D:\Program Files\EoRezo\lang\lang_it.xml 
D:\Program Files\EoRezo\MngInstaller.dll 
D:\Program Files\EoRezo\unins000.dat 
D:\Program Files\EoRezo\unins000.exe 
D:\Program Files\EoRezo\user.cyp 
D:\WINDOWS\System32\w32apiw.dll 
D:\WINDOWS\TEMP\is-ELDET.tmp\EoRezo 
 
(!) -- Fichiers temporaires supprimés. 
 
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version [Impossible d'obtenir la version] *
.
 Nom du profil:  ()
.
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.google.com
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
5749 Octet(s) - D:\Ad-Report-CLEAN.log 
.
26 Fichier(s) - D:\WINDOWS\TEMP 
26 Fichier(s) - D:\WINDOWS\Temp 
.
16 Fichier(s) - D:\Program Files\Ad-Remover\BACKUP
56 Fichier(s) - D:\Program Files\Ad-Remover\QUARANTINE

dmaestro · Answer

Bonjour Pierre31, Est ce que la procedure de AD Remover a ete suffisante? J'ai profite des indication qui etaient donnees par nathandre: Pour le moment j'ai effectivement acces aÂ  Internet sans blocage ce qui est deja bcp, mais j'ai un bandeau  en haut de l'ecran qui dit : This page is infected by malicious advertising code. Such code can seriously affect your computer. Click here to protect your computer with Personal Antivirus. 
Bien sur je n'ose pas cliquer puisqu'il s'agit bien sur du PersonnalAntivirus qui m'ennuie tant! Comment faire pour le surrpimer?! Je copie la question pour l'envoyer aussi aÂ  nathandre. 
Bonne continuation.DMaestro

dmaestro · Answer

En fait je me suis rÃ©jouie trop vite: au bout de qq instants, le blocage de personnal antivirus est revenu bloquer l'Ã©cran: donc je vais relancer le nettoyage!!!! Lerci pour de l'aide complÃ©mentaire!!! 
NB: J'ai pu Ã©crire ce message sans qu'il me bloque... Mais je pense qu'il m'attend au dÃ©tour d'un site ou d'une manip pour revenir me bloquer!!!!
Merci encore pour aide.
DMaestro

Utilisateur anonyme · Answer

Pierre31, tu me fait ceci pour  voir plus profondément
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

- http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

- Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


- laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

dmaestro · Answer

-

pierre31 · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Pierre at 2009-09-22 23:27:42
Microsoft Windows XP Professionnel Service Pack 2
System drive D: has 126 GB (85%) free of 149 GB
Total RAM: 511 MB (47% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:27:57, on 22/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32
vsvc32.exe
D:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\WINDOWS\VM_STI.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32undll32.exe
D:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
D:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
D:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe
D:\WINDOWS\system32\WgaTray.exe
D:\Program Files\Windows Live\Contacts\wlcomm.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Documents and Settings\Pierre\Mes documents\Downloads\RSIT (1).exe
D:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchFilter.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Documents and Settings\Pierre\Mes documents\Downloads\Pierre.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - D:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - D:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - D:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [BigDogPath] D:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] D:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "D:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Google Update] "D:\Documents and Settings\Pierre\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMidi] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMidi] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Desktop Search.lnk = D:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://D:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32
wprovau.dll
O16 - DPF: Yahoo! Freecell Solitaire - http://presence.games.yahoo.com/yog/y/fs10_x.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - D:\Program Files\Tall Emu\Online Armor\oasrv.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

pierre31 · Answer

up

oubiouba2 · Answer

D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe 

peut etre ton cheval de troie , je sais cela surprend!

oubiouba2 · Answer

ce ne sont pas les processus que je regarde, beaucoup de chevaux de troie s'insere dans certains antivirus, tels avast et anti vir.
je prote juste le conseil de supprimer tous tes antivirus et anti spyware, et de redemarrer ton pc en mode sans echec.
a partir de la tu reinstalle un antivirus et un anti spywre et tu scannes.
mais comment sais tu que tu as un cheval de troie ?

oubiouba2 · Answer

En voyant des éléments suspects dans un rapport Hijackthis et RSIT
oui, mais non fiable à 100%
parfois les méthodes archaïques sont les meilleures.
surtout pour le novice(dont je fais parti)

oubiouba2 · Answer

pierre31 dit qu'il a un cheval de troie, donc il sais qui il est, dans le sens ou il peut le nommer.

donc ma question, quel est son nom ?
et quels sont les symptomes du pc ?

pour une aide il faut parfois de la méthode pour mieux se comprendre, non ?

sinon on propose des tas de logiciels et de manips inutiles voir risquées pour l'amateur.

oubiouba2 · Answer

bien sûr , mais avoir de bonnes indications permet de désactiver "le registre maudit" et d'enlever le malveillant manuellement.

pierre31 · Answer

up

pierre31 · Answer

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2

23/09/2009 17:11:51
mbam-log-2009-09-23 (17-11-50).txt

Type de recherche: Examen rapide
Eléments examinés: 91561
Temps écoulé: 12 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pierre31 · Answer

up

pierre31 · Answer

j'ai téléchargé navilog en cas... et j'envoie le rapport:

Fix Navipromo version 4.0.2 commencé le 23/09/2009 20:07:58,32

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis D:\Program Files
avilog1

Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : BIOS Date: 09/04/03 17:10:30 Ver: 08.00.08
USER : Pierre ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
Firewall  : Online Armor Firewall 2.1.0.131 (Not Activated)

A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:3 Go (Free:2 Go)
D:\ (Local Disk) - NTFS - Total:145 Go (Free:123 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 23/09/2009 20:13:13,51 ***

pierre31 · Answer

c'est bizarre car mon antivirus ne le trouve plus et pourtant j'ai toujours des problèmes de connexion, des messages d'erreur et je ne peux quasiment plus faire de mise à jour

pierre31 · Answer

Je ne peux pas mettre à jour avira car il m'est indiqué que la connexion internet a raté et je ne peux pas restaurer mon système à une date antérieure quelle qu'elle soit

pierre 31 · Answer

Je viens de supprimer la quarantaine mais je n'ai rien de plus dans le rapport.

Je viens de lancer un scan avec antivir après mise à jour:



Avira AntiVir Personal
Report file date: jeudi 24 septembre 2009  22:45

Scanning for 1747065 virus strains and unwanted programs.

Licensed to:      Avira AntiVir Personal - FREE Antivirus
Serial number:    0000149996-ADJIE-0000001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Boot mode:        Normally booted
Username:         SYSTEM
Computer name:    PIERRE-

Version information:
BUILD.DAT     : 8.2.0.353      17048 Bytes  15/05/2009 12:02:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25/11/2008 19:21:18
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  18/07/2008 19:38:31
LUKE.DLL      : 8.1.4.5       164097 Bytes  18/07/2008 19:38:31
LUKERES.DLL   : 8.1.4.0        12033 Bytes  18/07/2008 19:38:31
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27/10/2008 16:23:32
ANTIVIR1.VDF  : 7.1.4.132    5707264 Bytes  24/06/2009 18:35:02
ANTIVIR2.VDF  : 7.1.6.1      3857920 Bytes  16/09/2009 18:13:53
ANTIVIR3.VDF  : 7.1.6.35      396288 Bytes  24/09/2009 18:13:54
Engineversion : 8.2.1.25  
AEVDF.DLL     : 8.1.1.2       106867 Bytes  24/09/2009 18:13:58
AESCRIPT.DLL  : 8.1.2.33      479611 Bytes  24/09/2009 18:13:57
AESCN.DLL     : 8.1.2.5       127346 Bytes  13/09/2009 12:50:13
AERDL.DLL     : 8.1.2.4       430452 Bytes  04/08/2009 08:20:55
AEPACK.DLL    : 8.2.0.0       422261 Bytes  24/09/2009 18:13:56
AEOFFICE.DLL  : 8.1.0.38      196987 Bytes  29/06/2009 18:35:10
AEHEUR.DLL    : 8.1.0.155    1921400 Bytes  30/08/2009 11:03:31
AEHELP.DLL    : 8.1.7.0       237940 Bytes  13/09/2009 12:50:12
AEGEN.DLL     : 8.1.1.65      364917 Bytes  24/09/2009 18:13:56
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15/10/2008 15:08:51
AECORE.DLL    : 8.1.8.1       184693 Bytes  24/09/2009 18:13:55
AEBB.DLL      : 8.1.0.3        53618 Bytes  15/10/2008 15:08:49
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18/07/2008 19:38:31
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18/07/2008 19:38:31
AVREP.DLL     : 8.0.0.3       155688 Bytes  24/04/2009 09:44:26
AVREG.DLL     : 8.0.0.1        33537 Bytes  18/07/2008 19:38:31
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:23
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18/07/2008 19:38:31
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18/07/2008 19:38:32
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:10
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18/07/2008 19:38:20
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18/07/2008 19:38:20

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: d:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 24 septembre 2009  22:45

Starting search for hidden objects.
'58410' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'chrome.exe' - '1' Module(s) have been scanned
Scan process 'chrome.exe' - '1' Module(s) have been scanned
Scan process 'chrome.exe' - '1' Module(s) have been scanned
Scan process 'wlcsdk.exe' - '1' Module(s) have been scanned
Scan process 'wlcomm.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'WindowsSearchIndexer.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'WindowsSearch.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'TomTomHOMERunner.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'TomTomHOMEService.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SeaPort.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'VM_STI.EXE' - '1' Module(s) have been scanned
Scan process 'cthelper.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
41 processes with 41 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!
Boot sector 'D:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '59' files ).


Starting the file scan:

Begin scan in 'C:\' <HP_RECOVERY>
C:\I386\Apps\APP15627\src\INS9XMSI.EXE
    [0] Archive type: RSRC
      --> Object
        [1] Archive type: CAB (Microsoft)
        --> msiexec.exe
          [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\I386\Apps\APP15627\src\ls_module\INS9XMSI.EXE
    [0] Archive type: RSRC
      --> Object
        [1] Archive type: CAB (Microsoft)
        --> msiexec.exe
          [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\I386\Apps\APP20985\SUPPORT\TOOLS\DEPLOY.CAB
    [0] Archive type: CAB (Microsoft)
    --> oformat.com
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\I386\Apps\APP21377\src\en\JS\LUSETUP\LUSETUP.EXE
    [0] Archive type: CAB SFX (self extracting)
    --> \AUPDATE.EXE
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
Begin scan in 'D:\'
D:\pagefile.sys
    [WARNING]   The file could not be opened!


End of the scan: jeudi 24 septembre 2009  23:35
Used time: 50:06 Minute(s)

The scan has been done completely.

   7216 Scanning directories
 209361 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 209360 Files not concerned
   1951 Archives were scanned
      5 Warnings
      0 Notes
  58410 Objects were scanned with rootkit scan
      0 Hidden objects were found

-AngusYoung · Answer

Spybot search and destroy fait boguer toute mon ordi alors je vous le conseil pas

pimprenelle27 · Answer

Bonsoir,

Je viens en aide à nathandre et pierre : 

Pierre voici ce que tu vas me faire un rapport plus complet que RSIt, pour voir s'il y encore des choses de cachées dans ton ordi : 

Me faire ceci pour un examen complet de ton PC.

&#x25B6; Ouvre ce lien et télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag :

&#x25B6; Une fois le téléchargement achevé, place ZHPDiag.exe sur ton Bureau.

&#x25B6; Double-clique sur l'icône pour lancer le programme.

&#x25B6; Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

&#x25B6; Clique sur la loupe pour lancer l'analyse.

&#x25B6; A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis ouvre le fichier sauvegardé (ZHPDiag.tx, puis sur cliquez ici pour déposer le fichier


&#x25B6; Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

pimprenelle27 · Answer

Tu va me faire ceci pour demain : 

Faire un scan en ligne un scan en ligne avec Bitdefender Scan Online  afin de vérifier s'il reste encore des virus.

Veuillez vous rendre à cette adresse avec Internet Explorer :


Citation:
Si vous êtes sous Vista (si vous avez XP ou 2000, passez à la suite), l’UAC doit être désactivée lors du scan.
Vous pouvez vous aider de ce lien pour désactiver l'UAC :

>>> http://www.bibou0007.com/tutos-f45/tutorial-desactiver-l-uac-sur-vista-t132.htm



1°) "Acceptez" l'accord de license :





2) Une nouvelle fenêtre apparait et affiche un message concernant un contrôle activeX :

# Sur cette page, une barre jaune apparait, faites un clic droit sur cette barre puis cliquez sur "Installer le contrôle activeX"

Voir cette image




3°) Une page d'avertissement s'ouvre, cliquez sur "Installer" :




4°) Ensuite la procédure de scan va pouvoir commencer. Cliquez sur "Démarrer l'analyse " Bitdefender va alors se mettre à jour et commencer (si cela se solde par un échec, veuillez alors recommencer car cela peut arriver) :






Soyez patient durant le scan, le temps indiqué n'est qu'une estimation.




5°) Le scan terminé, cliquez sur "Cliquer ici pour exporter le rapport" :




6°) Une page d'explorateur windows va alors s'ouvrir, nommez le rapport "Rapport Bitdefender " et enregistrez-le au format "HTML " sur le bureau :




7°) Ensuite, ouvrez le rapport de Bitdefender, rapport Bitdefender 2 maintenant présent sur votre bureau et faites un copier/coller sur votre forum.

pimprenelle27 · Answer

Parfais, maintenant tu va me faire ceci : 

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Au second menu choisis l'option 1 : Mode Recherche

&#9654; Laisse travailler l'outil.

&#9654; Une fois le scan Terminé ,un rapport s'ouvre .

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur  cliquez ici pour déposer le fichier

&#x25B6; Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

pimprenelle27 · Answer

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

pimprenelle27 · Answer

il n'y a pas un autre rapport avec le suppression des virus?

pierre 31 · Answer

up

pimprenelle27 · Answer

Et là y a quoi comme rapport C:\Kill'em.txt ?

pimprenelle27 · Answer

il reste encore les clefs de registre à supprimer : 


&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------
:reg
"HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536"=-
"HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv"=-


:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

pierre 31 · Answer

Purée ça bugue, je ne peux pas envoyer le rapport.
Et j'ai toujours les memes problèmes!

pimprenelle27 · Answer

il faut que tu me refasse OTM je ne l'ai pas bien fait : 


&#9654; Télécharge OTM (de Old_Timer) sur ton Bureau

&#9654; Double-clique sur OTM.exe pour le lancer.

&#9654; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#9654; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]


:Commands
[purity]
[emptytemp]
[Reboot]



-----------------------------------------------------------------------------

&#9654; clique sur MoveIt! pour lancer la suppression.

&#9654; Le résultat apparaitra dans le cadre "Results".

&#9654; Clique sur Exit pour fermer.

&#9654; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#9654; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

pimprenelle27 · Answer

Maintenant tu va me faire un denier RSIT, tu as toujours quoi comme symptômes, car là on va passer au nettoyage et mise à jour tu me dira si ça va mieux à la fin.

pimprenelle27 · Answer

Tu essayer de réinstaller avira?

Pour internet explorer tu vas dans les options et tu change tout simplement le page d'accueil de démarrage de IE.l

• Télécharge et installe UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

pimprenelle27 · Answer

Fait quand même usb fix merci.

pimprenelle27 · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée] 

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

pimprenelle27 · Answer

tu n'est pas administrateur de l'ordi?

pimprenelle27 · Answer

il est bizarre ton ordi, regarde dans ajout et suppression de programme si tu trouve cette barre d'outils msn search où msn toolbar et désinstalle les.

pierre 31 · Answer

j'ai oublié de te dire que meme si en cliquant su IE et en ayant cette page bizarre, lorsque je clique ensuite sur la maison (accueil), je vais direct sur google

pimprenelle27 · Answer

Bonjour nathandre,

Déjà fait la réinstallation d'avira regarde ici : https://forums.commentcamarche.net/forum/affich-14482075-probleme-avec-un-cheval-de-troie?page=2#90

Problème avec un cheval de Troie

41 réponses

Discussions similaires