Aidez moi PB avec Windows PC defender

Question

Bonjour,
j'ai fait une recherche sur google, je tombe par inadvertance sur une page qui disait 
que mon pc est infesté,  et me demande de cliquer pour résoudre le pb, j'ai cliqué,
il installe un programme, et depuis, j'ai windows PC defender, qui se met en marche à chaque démarrage
et dérange mon écran, il m'alerte toutes les secondes que mon pc est affecté
comment faire pour le désinstaller, j'ai été dans les programmes pour voir s'il y est, mais il n'y est pas
aidez-moi, ça me dérange de le voir m'alerter ce message toutes les secondes, et en plus ça freine un peu.
merci

Ced_King · Answer

Salut,

On va vérifier,

- Sous vista, désactive le contrôle des comptes utilisateurs --> panneau de config --> comptes utilisateur --> désactiver le contrôle des comptes utilisateurs.

Télécharge RSIT " Random's System Information Tool " sur ton bureau

- Ferme toutes les applications en cours et clic-droit ( exécuter en tant qu'administrateur.) sur RSIT.exe
- Sélectionne " Continue " à l'ecran >> RSIT va analyser le pc et vérifier si l'outil hijackthis ( version à jour) est présent sur le pc, si ce n'est pas le cas, RSIT le téléchargera >> accepte la licence
- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent :
--> log.txt à l'écran
-->info.txt dans la barre des tâches
- Postes le contenu des 2 rapports stp

marina · Answer

bonsoir ced_king, merci pour ta réponse.

j'ai pas compris quand tu dis  : "Sous vista, désactive le contrôle des comptes utilisateurs --> panneau de config --> comptes utilisateur --> désactiver le contrôle des comptes utilisateurs. " -> j'ai fait comme tu m'as dit, mais après j'ai seulement " activer et désactiver le controle" je fais quoi ? merci pour ton aide.

Ced_King · Answer

Tu le désactives et tu redémarres le pc pour que ça soit pris en compte, regarde sur ce lien :

https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Tu le réactiveras à la fin de la désinfection.

marina · Answer

voici le rapport, merci pour ton aide.

Logfile of random's system information tool 1.06 (written by random/random)
Run by Roland et Nortahn at 2009-10-02 19:39:54
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2
System drive C: has 21 GB (27%) free of 76 GB
Total RAM: 3061 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:43, on 02.10.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\ProgramData\981aff3\WP981a.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Users\Roland et Nortahn\Downloads\RSIT.exe
C:\Program Files	rend micro\Roland et Nortahn.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.emule-france.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Windows PC Defender] "C:\ProgramData\981aff3\WP981a.exe" /s /d
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\TOSHIBA\TRDCReminder\TRDCReminder.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A898F65-FE28-4104-BDC5-98F3A024555C}: NameServer = 192.168.1.1,192.168.1.33
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - c:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - c:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

marina · Answer

2ème rapport, merci

info.txt logfile of random's system information tool 1.06 2009-10-02 19:40:44

======Uninstall list======

-->"C:\Program Files\InstallShield Installation Information\{A644254B-92F6-4970-8635-AB0775371E72}\setup.exe" --u:{A644254B-92F6-4970-8635-AB0775371E72}
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{622E6F16-0904-49B6-BBE1-4CC836314CCF}\setup.exe" -l0x40c 
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{697AFC77-F318-4CD4-BF16-F50F4C1072DA}\setup.exe" -l0x40c 
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.5 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Camera Assistant Software for Toshiba-->C:\Program Files\InstallShield Installation Information\{37C866E4-AA67-4725-9E95-A39968DD7960}\Setup.exe -runfromtemp -l0x040c
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Codeur Windows Media Série 9-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Codeur Windows Media Série 9-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Desktop SMS-->MsiExec.exe /I{5980B928-1C95-4B3E-957B-B02D8147FF9E}
DVD MovieFactory for TOSHIBA-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F214EAA4-A069-4BAF-9DA4-4DB8BEEDE485}\setup.exe" -l0x40c 
eMule-->"C:\Program Files\eMule\Uninstall.exe"
Google Desktop-->C:\Program Files\Google\Google Desktop Search\GoogleDesktopSetup.exe -uninstall
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Graphics Media Accelerator Driver-->C:\Windows\system32\igxpun.exe -uninstall
Intel® Matrix Storage Manager-->C:\Windows\system32\imsmudlg.exe -uninstall
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
K-Lite Codec Pack 4.4.2 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Manuels TOSHIBA-->C:\Program Files\InstallShield Installation Information\{5B1DD5AA-FF34-4D6E-A912-CB46BB7378DC}\setup.exe -runfromtemp -l0x040c -removeonly
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{3B160861-7250-451E-B5EE-8B92BF30A710}
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
myphotobook 3.5-->C:\Program Files\myphotobook\uninst.exe
OpenOffice.org Installer 1.0-->MsiExec.exe /X{3A2AF807-9F9F-43C9-A24A-17B617238B74}
Picasa 2-->"C:\Program Files\Picasa2\Uninstall.exe"
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Realtek USB 2.0 Card Reader-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DC24971E-1946-445D-8A82-CE685433FA7D}\setup.exe" -l0x9  -removeonly
Réducteur de bruit du lecteur de CD/DVD-->C:\Program Files\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\setup.exe -runfromtemp -l0x040c -removeonly
SaxoTrader 2-->MsiExec.exe /X{7D00F669-C472-4B2B-8D57-05E298BE36FF}
Security Update for Windows Media Encoder (KB954156)-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} MSIPATCHREMOVE={E836F1B7-43FB-46B0-A0D9-E4D2A5951659} /qb
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TeamViewer 4-->C:\Program Files\TeamViewer\Version4\uninstall.exe
TOSHIBA Assist-->C:\Program Files\InstallShield Installation Information\{12B3A009-A080-4619-9A2A-C6DB151D8D67}\setup.exe -runfromtemp -l0x040c -removeonly
TOSHIBA ConfigFree-->MsiExec.exe /X{78C6A78A-8B03-48C8-A47C-78BA1FCA2307}
TOSHIBA Disc Creator-->MsiExec.exe /X{5DA0E02F-970B-424B-BF41-513A5018E4C0}
TOSHIBA DVD PLAYER-->C:\Program Files\InstallShield Installation Information\{6C5F3BDC-0A1B-4436-A696-5939629D5C31}\setup.exe -runfromtemp -l0x040c -ADDREMOVE -removeonly
TOSHIBA Extended Tiles for Windows Mobility Center-->C:\Program Files\InstallShield Installation Information\{617C36FD-0CBE-4600-84B2-441CEB12FADF}\setup.exe -runfromtemp -l0x040c
TOSHIBA Face Recognition-->"C:\Program Files\InstallShield Installation Information\{C730E42C-935A-45BB-A0C5-37E5234D111B}\setup.exe" -runfromtemp -l0x040c -removeonly
TOSHIBA Face Recognition-->MsiExec.exe /I{C730E42C-935A-45BB-A0C5-37E5234D111B}
TOSHIBA Hardware Setup-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2883F6F5-0509-43F3-868C-D50330DD9DD3}\setup.exe" -l0x40c 
Toshiba Online Product Information-->C:\Program Files\InstallShield Installation Information\{2290A680-4083-410A-ADCC-7092C67FC052}\setup.exe -runfromtemp -l0x040c -removeonly
TOSHIBA Recovery Disc Creator-->MsiExec.exe /X{B65BBB06-1F8E-48F5-8A54-B024A9E15FDF}
TOSHIBA Software Modem-->Tosmreg -U
TOSHIBA Supervisor Password-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4B1E87C3-00DE-4898-8E39-E390AAEF2391}\setup.exe" -l0x40c 
TOSHIBA Value Added Package-->C:\Program Files\InstallShield Installation Information\{FEDD27A0-B306-45EF-BF58-B527406B42C8}\setup.exe -runfromtemp -l0x040c
TRDCReminder-->C:\Program Files\InstallShield Installation Information\{773970F1-5EBA-4474-ADEE-1EA3B0A59492}\setup.exe -runfromtemp -l0x040c
TRORDCLauncher-->C:\Program Files\InstallShield Installation Information\{E65C7D8E-186D-484B-BEA8-DEF0331CE600}\setup.exe -runfromtemp -l0x040c
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Office 2007 (KB934528)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {2B939677-2FFD-48F6-9075-7BF48CB87C80}
Update for Office System 2007 Setup (KB929722)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {D8E9BEBD-655F-467D-8176-CA9959C140A3}
VeohTV BETA-->C:\Program Files\InstallShield Installation Information\{0405E51E-9582-4207-8F38-AC44201D3808}\setup.exe -runfromtemp -l0x0409
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: Loxias
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {467A21A4-B68E-4398-ABCA-C7D090701143}
  	Utilisateur : Loxias\Roland et Nortahn
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : file:C:\Users\Roland et Nortahn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\TRDCReminder.lnk;file:C:\Program Files\TOSHIBA\TRDCReminder\TRDCReminder.exe;startup:C:\Users\Roland et Nortahn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\TRDCReminder.lnk
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 9754
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20081114092242.000000-000
Event Type: Avertissement
User: 

Computer Name: Loxias
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 9750
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20081114092222.723400-000
Event Type: Erreur
User: 

Computer Name: Loxias
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 9733
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20081114084502.587200-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: Loxias
Event Code: 1003
Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 001E335D2541. Il s'est produit l'erreur suivante : 
L'opération a été annulée par l'utilisateur.. Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP).
Record Number: 9709
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20081114083818.000000-000
Event Type: Avertissement
User: 

Computer Name: Loxias
Event Code: 1003
Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 001E335D2541. Il s'est produit l'erreur suivante : 
L'opération a été annulée par l'utilisateur.. Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP).
Record Number: 9693
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20081114074546.000000-000
Event Type: Avertissement
User: 

=====Application event log=====

Computer Name: Loxias
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 613
Source Name: Microsoft-Windows-WMI
Time Written: 20081104084024.000000-000
Event Type: Erreur
User: 

Computer Name: Loxias
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 577
Source Name: Microsoft-Windows-WMI
Time Written: 20081103234813.000000-000
Event Type: Erreur
User: 

Computer Name: Loxias
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-2844327835-814223517-2912004257-1000:
Process 600 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-2844327835-814223517-2912004257-1000

Record Number: 557
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20081103234528.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: Loxias
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue. 

Record Number: 519
Source Name: Microsoft-Windows-Search
Time Written: 20081103233425.000000-000
Event Type: Avertissement
User: 

Computer Name: WIN-V7343XYAI49
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 505
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20081103232553.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: WIN-V7343XYAI49
Event Code: 4647
Message: Fermeture de session initiée par l’utilisateur :

Sujet :
	ID de sécurité :		S-1-5-21-1890840682-1830062783-837507443-500
	Nom du compte :		Administrator
	Domaine du compte :		WIN-V7343XYAI49
	ID d’ouverture de session :		0x273ed

Cet événement est généré lorsqu’une fermeture de session est initiée, mais que le nombre de références du jeton n’étant pas zéro, la session ouverte ne peut pas être supprimée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
Record Number: 697
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080226085622.212800-000
Event Type: Succès de l'audit
User: 

Computer Name: WIN-V7343XYAI49
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID du compte :		0x1a85f

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 696
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080226085608.890400-000
Event Type: Succès de l'audit
User: 

Computer Name: WIN-V7343XYAI49
Event Code: 4616
Message: L’heure du système a été modifiée.

Sujet :
	ID de sécurité :		S-1-5-19
	Nom du compte :		SERVICE LOCAL
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e5

Informations sur le processus :
	ID du processus :	0x470
	Nom :		C:\Windows\System32\svchost.exe

Heure précédente :		09:56:02 26/02/2008
Nouvelle heure :		09:56:02 26/02/2008

Cet événement est généré lorsque l’heure du système est modifiée. Le changement régulier de l’heure du système est une opération normale de la part du service de temps Windows qui s’exécute avec des privilèges système. Mais, d’autres modifications de l’heure du système peuvent indiquer des tentatives de falsification de l’ordinateur.
Record Number: 695
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080226085604.959200-000
Event Type: Succès de l'audit
User: 

Computer Name: WIN-V7343XYAI49
Event Code: 1100
Message: Le service d’enregistrement des événements a été arrêté.
Record Number: 694
Source Name: Microsoft-Windows-Eventlog
Time Written: 20080226085601.558598-000
Event Type: Succès de l'audit
User: 

Computer Name: WIN-V7343XYAI49
Event Code: 1102
Message: Le journal d’audit a été effacé.
Objet :
	ID de sécurité :	S-1-5-21-1890840682-1830062783-837507443-500
	Nom de compte :	Administrator
	Nom de domaine :	WIN-V7343XYAI49
	ID de connexion :	0x273ed
Record Number: 693
Source Name: Microsoft-Windows-Eventlog
Time Written: 20080226085524.040598-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------

marina · Answer

excuse moi Ced, j'ai pas vu ton message, du coup j'ai lancé le RSIT ; est ce grave? ou dois-je recommencer?

Ced_King · Answer

Ok,

Windows pc defender est un rogue 

- Télécharge Malwarebytes' Anti-Malware 

- Installe le > clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour
- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes
- Exécutes un examen rapide du pc ( tu n'auras pas accès à internet pendant l'analyse)
--> A la fin du scan clic sur " Afficher les résultats "
--> si Malwarebytes a trouvé des infections >> clic sur " Supprimer la sélection "
- Si il a besoin de redémarrer le pc pour finir la désinfection, acceptes
- Un rapport s'établira, postes son contenu.

marina · Answer

voici le rapport, merci pour ton aide, il a trouvé plein d'infection en rapport avec les rogues j'ai fait  après "supprimer la séléction" mais tu sais le windows pc defender est toujours là, il ne m'a pas demandé de redemarrer le pc. est ce normal?
merci 

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2896
Windows 6.0.6002 Service Pack 2

02.10.2009 20:11:48
mbam-log-2009-10-02 (20-11-48).txt

Type de recherche: Examen rapide
Eléments examinés: 83346
Temps écoulé: 3 minute(s), 30 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
C:\ProgramData\981aff3\WP981a.exe (Rogue.Multiple) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows pc defender (Rogue.Multiple) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://search-gala.com/?&uid=201&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Adware_LOG (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Roland et Nortahn\AppData\Roaming\Windows PC Defender (Rogue.WindowsPCDefender) -> Quarantined and deleted successfully.
C:\ProgramData\WPCDSys (Rogue.WindowsPCDefender) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\ProgramData\981aff3\WP981a.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Adware_LOG\adware.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Roland et Nortahn\AppData\Roaming\Windows PC Defender\Instructions.ini (Rogue.WindowsPCDefender) -> Quarantined and deleted successfully.
C:\ProgramData\WPCDSys\wpcd.cfg (Rogue.WindowsPCDefender) -> Quarantined and deleted successfully.
C:\Users\Roland et Nortahn\Desktop\Windows PC Defender.lnk (Rogue.WindowsPCDefender) -> Quarantined and deleted successfully.
C:\Users\Roland et Nortahn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows PC Defender.lnk (Rogue.WindowsPCDefender) -> Quarantined and deleted successfully.
C:\Users\Roland et Nortahn\AppData\Roaming\Microsoft\Windows\Start Menu\Windows PC Defender.lnk (Rogue.WindowsPCDefender) -> Quarantined and deleted successfully.
C:\Users\Roland et Nortahn\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Windows PC Defender.lnk (Rogue.WindowsPCDefender) -> Quarantined and deleted successfully.

Ced_King · Answer

Ok, vide la quarantaine de Malwarebytes --> clique sur l'onglet " Quarantaine " et supprime tout ce qui s'y trouve...

Puis redémarre le pc manuellement ( important)

                                                              -----------------------------

Télécharge et installe ccleaner

- Durant l'installation, décoche la case proposant la barre d'outils yahoo et celle : " ajouter l'option des mises à jour"

- Une fois installé, fermes toutes les applications en cours et lance ccleaner

- clic -->> option -->> avancé et décoche " effacer les fichiers etc... plus vieux que 48h

- Sélectionne " nettoyeur " >> clic sur Analyse puis nettoyage, puis referme le programme... 

                                                              --------------------------------

Supprime C:\Rsit et poste un nouveau rapport d'analyse Rsit stp

marina · Answer

alors, j'ai plusieurs questions à te poser avant de lancer rsit, merci :

1 - j'ai vidé la quarantaine & redémarrer mon pc, et là je n'ai plus le windows PC defender, c'est surper (merci à toi) , mais parcontre j'ai une icone en bas à droite qui est marqué " programmes de démarrages bloqués" est ce normal ? je n'ai jamais vu auparavant.

2 - j'ai bien exécuté ccleaner que j'avais déjà sur mon pc

3 - je n'ai pas compris quand tu dis qu'il faut supprimer " Supprime C:\Rsit et poste un nouveau rapport d'analyse Rsit stp ", cela veut dire quoi exactement, peux-tu m'expliquer plus en détail, merci beaucoup.

marina · Answer

Finalement j'ai réussi pour le rapport Rsit, peux-tu répondre aux deux points du message 10 stp merci beaucoup;

Logfile of random's system information tool 1.06 (written by random/random)
Run by Roland et Nortahn at 2009-10-02 21:14:20
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2
System drive C: has 20 GB (27%) free of 76 GB
Total RAM: 3061 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:23, on 02.10.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Roland et Nortahn\Downloads\RSIT.exe
C:\Program Files	rend micro\Roland et Nortahn.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\TOSHIBA\TRDCReminder\TRDCReminder.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A898F65-FE28-4104-BDC5-98F3A024555C}: NameServer = 192.168.1.1,192.168.1.33
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - c:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - c:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

Ced_King · Answer

Re, je me suis absenté

Pour la 1ère question la solution est sur ce lien :
https://forum.pcastuces.com/msconfig-f31s28.htm

si ce n'est pas ça, peux-tu faire une capture stp

Pour Ccleaner, il te faut la dernière version, si ce n'est pas le cas, remplace la et paramètre la comme indiqué plus haut

                                                                           -------------------------

Lance Hijackthis, il s'agit de ce fichier --> C:\Program Files	rend micro\Roland et Nortahn.exe 

Clique sur Do a system scan only

Coche les cases devant les lignes suivantes :


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http:­//fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http:­//fr.search.yahoo.com 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe 
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript 
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/259-2669412-0293300?ie=UTF8&amp%3Bsite=home&link_code=hom&tag=Toshibafrbholink-21 (file missing) 
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/ 

Et clique sur Fix Checked, répond " oui " et referme hijackthis.

                                                            ----------------------------------

Des applications telles que Java ou Adobe non à jour représente une faille de sécurité pour ta machine,

Mets Adobe à jour ici


---------------------
* Installe la dernière version de Java là

-------------------
* Une fois à jour, télécharges JavaRa.zip

--> Décompresse le --> clic droit : extraire ici

--> Double-clique sur JavaRa.exe

---> Autorise le processus a se connecter si il te le demande
. Cliques sur Install et suis les instructions

- Quand l'installation est finie, reviens à l'écran JavaRa

-Clic sur " Remove Old Versions " ou " supprimer les anciennes versions " --> cliques sur " oui "

-l'outil va travailler, cliques ensuite sur " Ok " et à nouveau sur Ok

- Un rapport s'ouvrira, refermes l'application puis postes le

                                                                ---------------------------------

- Met un coup de ccleaner >> nettoyage
Puis, clique sur " Registre " -->" Chercher des erreurs " --> " corriger les erreurs "
--> Recommence l'opération jusqu'à 0 erreur --> réponds Non à la sauvegarde. 

                                                                    ------------------------------

* met à jour Antivir.
* Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.
* Dans Antivir, choisisOutils puis Configuration.
* Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

Une fois à jour et paramétré, redémarre le pc en " Mode sans echec " :

- Au démarrage de l'ordi, tapotes sur la touche F8 ou F5 de ton clavier ( juste après le bip du bios et avant l'apparition du logo " Windows ")
- Un écran avec plusieurs choix apparaitra, sélectionne à l'aide des flèches du clavier, le mode sans échec et valides avec la touche " Entrée "

- Une fois en mode sans échec, lance un scan antivirus et poste le rapport généré à la fin stp.

marina · Answer

bonjour Ced_king,

merci pour la liste et ton aide, alors je t'explique plusieurs choses :

1 - pour les "programmes bloqués", je ne sais pas si le lien que tu m'as donnée soit le même, pour être plus
précise j'ai fait une capture d'écran de l'icone en bas de mon écran, voilà l'image  : http://img96.imageshack.us/img96/3917/ecran1z.jpg

puis quand je double clique  sur cette icone, il me donne "afficher ou supprimer les programmes du démarrage bloqués " je clique dessus & je vois que  Antivir a un statut " non encore classifié " ; voici la capture d'écran. http://img251.imageshack.us/img251/7098/ecran2.jpg


2 - pour CCleaner,  j'ai installé la nouvelle version & suivi exactement ce que tu m'as donnée plus haut.

3 - pour hijackthis, je t'explique alors j'ai cliqué sur " Do a system scan only " et là immédiatement, je tombe sur un message d'erreur (je te montre en capture d'écran : http://img17.imageshack.us/img17/2390/hijackthis1.jpg ) 

j'ai quand même cliqué sur " oui " et ensuite j'ai voulu coché la liste que tu m'as donné, mais arrivé à la ligne 2 : R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/ => je n'ai pas trouvé sur la liste, voici la capture d'écran : http://img17.imageshack.us/img17/5245/hijackthis2.jpg

j'ai quand même tout coché sauf le R0 de la ligne 2 de ta liste, mais arrivé au bout quand je clique sur "Fix Checked", je reçois un message d'erreur. C'est poruquoi j'ai recommencé le scan & te montre par les captures d'écran.

voilà si tu peux regarder, merci beaucoup.

Ced_King · Answer

Salut,

Mais ce n'est rien ça, c'est spécifique à Vista et à l'utilisation du contrôle des comptes utilisateurs ( UAC), c'est à toi d'autoriser ou pas le démarrage de certains programmes au démarrage :

Voilà des explications :
Message d'erreur lorsque vous démarrez un ordinateur Windows Vista
L'UAC dans Vista

D'alleurs tu peux réactiver l'UAC, ensuite à toi d'autoriser ou pas les programmes au démarrage...

Tu peux passer à la suite --> M-A-J, JavaRa et scan avec antivir...

marina · Answer

okay, merci je vais voir pour les programmes de démarrage.

alors, je t'explique je suis entrain de mettre à jour Java => c'est fait, cela n'a pas posé de problème.

quand j'arrive à Java Ra, je l'ai installé comme tu m'as dit, au moment où il met le message qu'il va 
" poster un journal de rapport " dans un fichier javaR.log. je vais le chercher dans la racine C comme il a indiqué
eh bien je ne trouve pas du tout le fichier .log

j'ai tout regarder mais je trouve pas. désolée, je ne suis pas très forte dans les manipulations. merci

Ced_King · Answer

Pô grave pour JavaRa, l'important est que tu le fasses.

marina · Answer

ok merci, je vais t'expliquer ce que je suis entrain de faire, en fait c'est pour ma soeur, je la guide par teamviewer car elle ne connait pas vraiment les manipulations informatiques, donc là elle a démarré en mode sans echec donc je ne peux pas rentrer dans son ordinateur par teawiewer, donc elle est complètement perdue, et là elle se trouve devant un écran, elle ne trouve le scan antivirus, elle a chercher partout dans antivir, elle n'a pas trouvé le logo en bas à droite. Donc, elle a cliqué sur le logo antivir qui se trouve sur l'écran mais elle ne sait pas où se trouve le scan antivir,

pourras-tu nous aider, car je ne vois son écran, du coup je ne peux pas la guider. Désolée, merci beaucoup

marina · Answer

c'est bon je crois elle a trouvé, il est entrain d'analyser, je voudrais savoir une fois qu'elle a fini, il mettra un
rapport, faut-il qu'elle l'enregistre quelque part dans un dossier? car en mode sans echec elle ne peut pas accéder à internet.
et comment faire pour revenir en mode normal? merci

Ced_King · Answer

Re,

Voilà un tutoriel , sinon sur son bureau, elle doit avoir une icône Avira Antivir Control Center ou encore le faire en mode normal, n'oublie surtout pas la mise à jour avant de lancer le scan.

Ced_King · Answer

faut-il qu'elle l'enregistre quelque part dans un dossier? 

Les rapports

marina · Answer

okay, merci ced_king pour le tuto sur le rapport, juste une question (elle est entrain de scanner), mais je voudrais savoir, une fois le scan fini, elle revient en mode normal ? car en mode echec je ne peux pas voir son scan, donc je ne peux pas t'envoyer le rapport. Si oui, comment faire pour revenir en mode scan.

marina · Answer

en mode "normal" pardon.

marina · Answer

Le scan a terminé, elle a réussi à se mettre en mode normal, voici le rapport, merci beaucoup : Avira AntiVir Personal Date de création du fichier de rapport : samedi 3 octobre 2009 12:38 La recherche porte sur 1772828 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 2) [6.0.6002] Mode Boot : Mode sans échec Identifiant : xxxxxx Nom de l'ordinateur : LOXIAS Informations de version : BUILD.DAT : 9.0.0.70 18071 Bytes 25.09.2009 12:03:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 02.10.2009 13:02:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03.03.2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03.03.2009 09:21:31 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 13:02:46 ANTIVIR2.VDF : 7.1.6.50 4333568 Bytes 29.09.2009 13:02:46 ANTIVIR3.VDF : 7.1.6.68 216576 Bytes 02.10.2009 20:36:34 Version du moteur : 8.2.1.27 AEVDF.DLL : 8.1.1.2 106867 Bytes 02.10.2009 13:02:46 AESCRIPT.DLL : 8.1.2.33 479611 Bytes 02.10.2009 13:02:46 AESCN.DLL : 8.1.2.5 127346 Bytes 02.10.2009 13:02:46 AERDL.DLL : 8.1.2.4 430452 Bytes 02.10.2009 13:02:46 AEPACK.DLL : 8.2.0.0 422261 Bytes 02.10.2009 13:02:46 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 02.10.2009 13:02:46 AEHEUR.DLL : 8.1.0.155 1921400 Bytes 02.10.2009 13:02:46 AEHELP.DLL : 8.1.7.0 237940 Bytes 02.10.2009 13:02:46 AEGEN.DLL : 8.1.1.66 364917 Bytes 02.10.2009 13:02:46 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.8.1 184693 Bytes 02.10.2009 13:02:46 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 02.10.2009 13:02:46 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 02.10.2009 13:02:45 RCTEXT.DLL : 9.0.37.0 88321 Bytes 15.04.2009 09:07:05 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, E:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : samedi 3 octobre 2009 12:38 La recherche d'objets cachés commence. Impossible d'initialiser le pilote. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'HelpPane.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '18' processus ont été contrôlés avec '18' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '44' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. Recherche débutant dans 'E:\' Fin de la recherche : samedi 3 octobre 2009 13:04 Temps nécessaire: 25:32 Minute(s) La recherche a été effectuée intégralement 17575 Les répertoires ont été contrôlés 248268 Des fichiers ont été contrôlés 0 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 248267 Fichiers non infectés 1008 Les archives ont été contrôlées 1 Avertissements 1 Consignes

yo! · Answer

[quote]Bonjour,
j'ai fait une recherche sur google, je tombe par inadvertance sur une page qui disait
que mon pc est infesté,[/quote]

A mon avis t'es pas infecté.
Si c'est arrivé une fois et si c'est pas systématique lors des recherches, c'est *juste* que tu as cliqué sur un faux lien dans les recherches Google qui a pour but d'afficher de fausses alertes pour faire la promotion de ce rogue.

SEO poisoning...
Lire : https://forum.malekal.com/viewtopic.php?t=7139&start=

marina · Answer

merci  Yo ! pour ton intervention. Mais Ced-King a réussi à le débarraser hier soir.

Aidez moi PB avec Windows PC defender

25 réponses

Votre réponse

Newsletters