Analyse Hiijackthis Résolu/Fermé

Question

Bonjour,
pouvez vous analyser mon rappport Hijackthis?
Symptôme: le menu de Google s'affiche une minute après l'affichage du formulaire de recherche de Google. J'avais installé Google Gears que j'ai supprimé et j'ai fait une retauration système à partir d'un point de restauration datant d'avant cette installation. Ad-aware n'a rien trouvé

Logfile of HijackThis v1.99.1
Scan saved at 11:44:47, on 07/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
c:\wamp\apache2\bin\httpd.exe
C:\WINDOWS\Explorer.EXE
c:\wamp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\fxssvc.exe
C:\wamp\apache2\bin\httpd.exe
C:\WINDOWS\System32\CePMTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\AEIWLSTA.EXE
C:\WINDOWS\System32\hpha2mon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\System32\HPHipm08.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\MICROS~3apimgr.exe
C:\Program Files\TOSHIBA\NetDevSw\NetDevSW.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\Jean-Pierre\Mes documents\Mes outils\Antispam\K9.exe
C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tinit.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: HP928961 HP0018FE928961
O2 - BHO: ZIBho Class - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CP888M1] C:\PROGRA~1\EzButton\CP888M1.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AEIWLSTA.EXE] AEIWLSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [HPHA2MON] C:\WINDOWS\System32\hpha2mon.exe
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: ClearProg.lnk = ?
O4 - Startup: K9 Antispam.lnk = Antispam\K9.exe
O4 - Startup: BUFFALO NAS Navigator.lnk = C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe
O4 - Global Startup: Network Device Switch.lnk = ?
O4 - Global Startup: Courrier électronique.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Get It With Kontiki - res://C:\Program Files\Kontiki\bin\bh304181.dll/201
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .PRZ: C:\Program Files\Internet Explorer\PLUGINS
pflview.dll
O16 - DPF: STCJava - https://vpn.overlap.fr/CACHE/webvpn/stc/1/binaries/stcjava.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/40.11/uploader2.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.putfile.com/includes/ImageUploader4-5.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EasyPHP\Apache\apache.exe" --ntservice (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: MySql - Unknown owner - c:\progra~1\easyphp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN
ipsvc.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe

Merci d'avance

gen-hackman · Answer

salut :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau

&#9654 dezippe-le , (clic droit/ extraire.....)

Il ne necessite pas d'installation 

&#9654 double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

un rapport du nom de catchme apparait sur ton bureau , ignore-le , mais ne le supprime pas pour l instant

&#9654 Poste le contenu du rapport qui s'ouvre

jpmarce · Answer

Merci, voici le rapport (j'ai arrêté le parfeau quelques secondes après le démarrage de List'em
List'em by g3n-h@ckm@n 1.1.2.1 

Thx to Chiquitine29..... 

User : Jean-Pierre (Administrateurs) # JEAN-PIERRE
Update on 07/12/2009 by g3n-h@ckm@n ::::: 11:00 
Start at: 12:22:16 | 07/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Pentium(R) III Mobile CPU       933MHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1351 [VPS 091206-1] 4.8.1351 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 18,61 Go (2,16 Go free) | FAT32
D:\ -> Disque amovible
E:\ -> Disque CD-ROM
L:\ -> Connexion réseau | 464,62 Go (453,87 Go free) [share] | NTFS

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\WINDOWS\System32\smss.exe 532
C:\WINDOWS\system32\csrss.exe 612
C:\WINDOWS\system32\winlogon.exe 636
C:\WINDOWS\system32\services.exe 680
C:\WINDOWS\system32\lsass.exe 692
C:\WINDOWS\system32\svchost.exe 852
C:\WINDOWS\system32\svchost.exe 904
C:\WINDOWS\System32\svchost.exe 992
C:\WINDOWS\System32\svchost.exe 1140
C:\WINDOWS\System32\svchost.exe 1316
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1436
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1484
C:\WINDOWS\system32\spoolsv.exe 1756
C:\WINDOWS\System32\svchost.exe 496
c:\program files\a-squared free\a2service.exe 524
C:\Program Files\Java\jre6\bin\jqs.exe 600
C:\WINDOWS\System32
vsvc32.exe 884
C:\WINDOWS\system32\HPZipm12.exe 1032
C:\WINDOWS\System32\svchost.exe 1208
C:\WINDOWS\system32\wdfmgr.exe 1296
C:\Program Files\Viewpoint\Common\ViewpointService.exe 1428
c:\wamp\apache2\bin\httpd.exe 1560
C:\WINDOWS\Explorer.EXE 2012
c:\wamp\mysql\bin\mysqld-nt.exe 200
C:\WINDOWS\system32\fxssvc.exe 252
C:\wamp\apache2\bin\httpd.exe 1952
C:\WINDOWS\System32\CePMTray.exe 2168
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe 2176
C:\Program Files\Logitech\iTouch\iTouch.exe 2204
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe 2220
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 2228
C:\Program Files\QuickTime\qttask.exe 2252
C:\WINDOWS\system32\LVCOMSX.EXE 2260
C:\Program Files\Logitech\Video\LogiTray.exe 2276
C:\Program Files\Java\jre6\bin\jusched.exe 2284
C:\WINDOWS\system32\AEIWLSTA.EXE 2304
C:\WINDOWS\System32\hpha2mon.exe 3496
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3512
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3548
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 3536
C:\Program Files\Logitech\MouseWare\system\em_exec.exe 3568
C:\WINDOWS\system32\ctfmon.exe 3628
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe 3976
C:\Program Files\Microsoft ActiveSync\wcescomm.exe 4048
C:\WINDOWS\System32\HPHipm08.exe 916
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 1172
C:\PROGRA~1\MICROS~3apimgr.exe 1808
C:\Program Files\TOSHIBA\NetDevSw\NetDevSW.exe 2160
C:\WINDOWS\System32\alg.exe 1880
C:\Program Files\Logitech\Video\FxSvr2.exe 1932
C:\Program Files\Outlook Express\msimn.exe 1204
C:\Documents and Settings\Jean-Pierre\Mes documents\Mes outils\Antispam\K9.exe 568
C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe 1940
C:\Program Files\Internet Explorer\iexplore.exe 2004
C:\WINDOWS\system32	askmgr.exe 4200
C:\Program Files\Internet Explorer\iexplore.exe 5292
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe 3880
C:\WINDOWS\system32\wscntfy.exe 3948
L:\Outils\List_Killem\List_Kill'em.exe 4076
C:\WINDOWS\system32\cmd.exe 2332
C:\WINDOWS\system32\wbem\wmiprvse.exe 892
C:\Documents and Settings\Jean-Pierre\Local Settings\Temp\22.tmp\pv.exe 4188

======================
Keys "Run" 
======================

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    LogitechSoftwareUpdate	REG_SZ	"C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    H/PC Connection Agent	REG_SZ	"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    swg	REG_SZ	C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    NvCplDaemon	REG_SZ	RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    Apoint	REG_SZ	C:\Program Files\Apoint2K\Apoint.exe
    CeEPOWER	REG_SZ	C:\WINDOWS\System32\CePMTray.exe
    HPDJ Taskbar Utility	REG_SZ	C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
    zBrowser Launcher	REG_SZ	C:\Program Files\Logitech\iTouch\iTouch.exe
    CP888M1	REG_SZ	C:\PROGRA~1\EzButton\CP888M1.EXE
    AdaptecDirectCD	REG_SZ	"C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
    avast!	REG_SZ	C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    Logitech Utility	REG_SZ	Logi_MwX.Exe
    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\qttask.exe" -atboottime
    LVCOMSX	REG_SZ	C:\WINDOWS\system32\LVCOMSX.EXE
    LogitechVideoRepair	REG_SZ	C:\Program Files\Logitech\Video\ISStart.exe 
    LogitechVideoTray	REG_SZ	C:\Program Files\Logitech\Video\LogiTray.exe
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre6\bin\jusched.exe"
    Adobe Reader Speed Launcher	REG_SZ	"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    AEIWLSTA.EXE	REG_SZ	AEIWLSTA.EXE START
    TkBellExe	REG_SZ	"C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
    HPHA2MON	REG_SZ	C:\WINDOWS\System32\hpha2mon.exe
    hpfsched	REG_SZ	C:\WINDOWS\hpfsched.exe
    HP Software Update	REG_SZ	C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
=====================
Other Keys
=====================

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
    dontdisplaylastusername	REG_DWORD	0x0
    legalnoticecaption	REG_SZ	
    legalnoticetext	REG_SZ	
    shutdownwithoutlogon	REG_DWORD	0x1
    undockwithoutlogon	REG_DWORD	0x1
=============== 
AppInit_Dlls : NVDESK32.DLL 

===============
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	ermsrv 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon 
===============
BHO :
====== 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{029CA12C-89C1-46a7-A3C7-82F2F98635CB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
@="JQSIEStartDetectorImpl"
"NoExplorer"=dword:00000001


================
Internet Explorer :
================ 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
    Start Page	REG_SZ	http://www.tinit.org/


! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    Start Page	REG_SZ	https://www.google.fr/?gws_rd=ssl


========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 
EapHost : 0x3 
SharedAccess : 0x2 
wuauserv : 0x2 
=========
 
=========================
Environnement variables :
=========================

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Jean-Pierre\Application Data
choix=1
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=JEAN-PIERRE
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Jean-Pierre
LANG=fr
LOGONSERVER=\JEAN-PIERRE
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Fichiers communs\Adaptec Shared\System;C:\Program Files\Fichiers communs\GTK\2.0\bin;C:\READIBMW
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 11 Stepping 1, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0b01
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp
TMP=C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp
USERDOMAIN=JEAN-PIERRE
USERNAME=Jean-Pierre
USERPROFILE=C:\Documents and Settings\Jean-Pierre
windir=C:\WINDOWS

==========
Programs
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\install.exe  
C:\WINDOWS\aucfg.ini  
C:\WINDOWS\patch.exe  
C:\WINDOWS\Readme.txt  
C:\WINDOWS\System32\ACTSKN43.ocx  
C:\WINDOWS\System32\drivers\etc\hosts.msn  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
HKCU\SOFTWARE\fcn  

=========
Rootkits
=========

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-07 12:32:01
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

NTOSBOOT-B00DFAAD.pf
VERCLSID.EXE-3667BD89.pf
HPZINW12.EXE-0F63664A.pf
DEFRAG.EXE-273F131E.pf
NOTEPAD.EXE-336351A9.pf
HPZIPM12.EXE-145E7369.pf
DFRGFAT.EXE-03D95883.pf
HPI_PRINT.EXE-1146334E.pf
PHOTOFILTRE.EXE-22B29194.pf
WUAUCLT.EXE-399A8E72.pf
REALSCHED.EXE-04BEC5CC.pf
FTPXPERT.EXE-33AA8B7F.pf
REGSVR32.EXE-25EEFE2F.pf
AVAST.SETUP-032170A8.pf
TASKMGR.EXE-20256C55.pf
HPBOID.EXE-2482D394.pf
HPBPRO.EXE-1071DE90.pf
HPNRA.EXE-08D0A9E6.pf
HPQUSGL.EXE-1A66A7E1.pf
MSPAINT.EXE-11CBB631.pf
HPZSTC01.EXE-349A1E1B.pf
WMIPRVSE.EXE-28F301A9.pf
HPZENG01.EXE-11FDCEDB.pf
SHUTDOWN.EXE-12DAD820.pf
RUNDLL32.EXE-383267D7.pf
HPFSCHED.EXE-28B7CB06.pf
JUSCHED.EXE-25206883.pf
READER_SL.EXE-1A438403.pf
LOGONUI.EXE-0AF22957.pf
HPHA2MON.EXE-36FF6A72.pf
EM_EXEC.EXE-21B4F4A4.pf
HPWUSCHD2.EXE-02F6D2DD.pf
AEIWLSTA.EXE-2EF02DB3.pf
CTFMON.EXE-0E17969B.pf
VIEWMGR.EXE-1E800BBC.pf
EXPLORER.EXE-082F38A9.pf
WMIADAP.EXE-2DF425B2.pf
MANIFESTENGINE.EXE-36F394D0.pf
WCESCOMM.EXE-062FDF7F.pf
WSCNTFY.EXE-1B24F5EB.pf
IMAPIROX.EXE-118350FC.pf
ASHMAISV.EXE-12E27032.pf
ASHWEBSV.EXE-0548EF0A.pf
NETDEVSW.EXE-04CED8A9.pf
RAPIMGR.EXE-04A8BC13.pf
ALG.EXE-0F138680.pf
HPQTRA08.EXE-17E37E7E.pf
HPHIPM08.EXE-390DA723.pf
RUNDLL32.EXE-451FC2C0.pf
FXSVR2.EXE-14513BBA.pf
CLEARPROG.EXE-37476B49.pf
K9.EXE-236F9C10.pf
WEXPERT6.EXE-12DBA410.pf
NASNAVI.EXE-1795125D.pf
HPQNRS08.EXE-199A45CA.pf
WMIAPSRV.EXE-1E2270A5.pf
HPQSTE08.EXE-18A7280B.pf
HPQUSGM.EXE-1F64E65F.pf
DLLHOST.EXE-30852C07.pf
RUNDLL32.EXE-38C565ED.pf
MSIMN.EXE-38BA891D.pf
MSIEXEC.EXE-2F8A8CAE.pf
DUMPREP.EXE-1B46F901.pf
CONTROL.EXE-013DBFB5.pf
RUNDLL32.EXE-1831A4F3.pf
RUNDLL32.EXE-13DA0E71.pf
MSNMSGR.EXE-030AB647.pf
WLCOMM.EXE-04AE9009.pf
APOINT.EXE-1B53748D.pf
IEXPLORE.EXE-27122324.pf
SOLSUITE.EXE-0E576D02.pf
MSFEEDSSYNC.EXE-25E13438.pf
ACRORD32INFO.EXE-24548733.pf
ACRORD32.EXE-356875A2.pf
ALBUMDB2.EXE-0EEB0F05.pf
CEPMTRAY.EXE-08C17912.pf
HPZTSB01.EXE-0178F9AF.pf
ITOUCH.EXE-0DDF2B56.pf
CP888M1.EXE-339702D7.pf
DIRECTCD.EXE-29C72432.pf
ASHDISP.EXE-24136137.pf
LOGI_MWX.EXE-1B741F45.pf
QTTASK.EXE-342507FB.pf
LVCOMSX.EXE-0AC1D558.pf
LOGITRAY.EXE-33843C37.pf
RUNDLL32.EXE-241E44D6.pf
HPWUCLI.EXE-2587F620.pf
HPRBUPDATE.EXE-342FA7BD.pf
DWWIN.EXE-30875ADC.pf
PHP.EXE-35323454.pf
RUNDLL32.EXE-120AB86F.pf
RUNDLL32.EXE-268BFF96.pf
NOTEPAD_NOTEPAD_5.51_FRANCAIS-2A270F58.pf
XMLUPDATER.EXE-123A9E39.pf
NS43.TMP-2BB7DE62.pf
NS44.TMP-2346FF50.pf
NS45.TMP-16848EF0.pf
WINWORD.EXE-10D55173.pf
NS46.TMP-387A4EC2.pf
NS47.TMP-01513F7E.pf
NS48.TMP-3B1CCDBE.pf
GUP.EXE-19CD57B1.pf
NOTEPAD++.EXE-14917D45.pf
LOGON.SCR-151EFAEA.pf
RUNDLL32.EXE-250529E1.pf
RUNDLL32.EXE-1DE008AD.pf
RUNDLL32.EXE-18B83C73.pf
RUNDLL32.EXE-44244D7B.pf
Layout.ini
EXCEL.EXE-1C75F8D6.pf
RUNDLL32.EXE-2F349ACE.pf
RUNDLL32.EXE-2E5A8931.pf
RUNDLL32.EXE-1DE36DAB.pf
RUNDLL32.EXE-11FA8FF5.pf
RUNDLL32.EXE-2AFB798B.pf
RUNDLL32.EXE-3A4366E7.pf
RUNDLL32.EXE-15C82A19.pf
RUNDLL32.EXE-11A858AD.pf
RUNDLL32.EXE-2BCAA9BE.pf
RUNDLL32.EXE-1A967E9B.pf
RUNDLL32.EXE-4649469D.pf
NPPIEXPLORERSHELL.EXE-03E4BC2C.pf
WIAACMGR.EXE-212ED878.pf
RUNDLL32.EXE-22C1B30F.pf
RUNDLL32.EXE-376F23E3.pf
RUNDLL32.EXE-45F0E43B.pf
RUNDLL32.EXE-443DCCCB.pf
RUNDLL32.EXE-2D821D29.pf
RUNDLL32.EXE-396BC51D.pf
RUNDLL32.EXE-397D1300.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

&#9654 Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Destruction

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse

jpmarce · Answer

Voici le raport après l'option 2. 

Maintenant j'ai la barre de lancement rapide de Windows qui ne fonctionne plus...

Kill'em by g3n-h@ckm@n 1.1.2.1 
 
User : Jean-Pierre (Administrateurs) # JEAN-PIERRE
Update on 07/12/2009 by g3n-h@ckm@n ::::: 11:00 
Start at: 13:55:57 | 07/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Pentium(R) III Mobile CPU       933MHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1351 [VPS 091206-1] 4.8.1351 [ Enabled | Updated ]

C:\ -> Disque fixe local | 18,61 Go (2,16 Go free) | FAT32
D:\ -> Disque amovible
E:\ -> Disque CD-ROM
L:\ -> Connexion réseau | 464,62 Go (453,87 Go free) [share] | NTFS
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe 536
C:\WINDOWS\system32\csrss.exe 612
C:\WINDOWS\system32\winlogon.exe 636
C:\WINDOWS\system32\services.exe 680
C:\WINDOWS\system32\lsass.exe 692
C:\WINDOWS\system32\svchost.exe 856
C:\WINDOWS\system32\svchost.exe 904
C:\WINDOWS\System32\svchost.exe 992
C:\WINDOWS\System32\svchost.exe 1124
C:\WINDOWS\System32\svchost.exe 1304
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1420
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1468
C:\WINDOWS\system32\spoolsv.exe 1756
C:\WINDOWS\System32\svchost.exe 496
c:\program files\a-squared free\a2service.exe 412
C:\Program Files\Java\jre6\bin\jqs.exe 588
C:\WINDOWS\System32
vsvc32.exe 864
C:\WINDOWS\system32\HPZipm12.exe 1028
C:\WINDOWS\System32\svchost.exe 1176
C:\WINDOWS\system32\wdfmgr.exe 1288
C:\Program Files\Viewpoint\Common\ViewpointService.exe 1524
c:\wamp\apache2\bin\httpd.exe 1568
c:\wamp\mysql\bin\mysqld-nt.exe 1904
C:\WINDOWS\system32\fxssvc.exe 1936
C:\wamp\apache2\bin\httpd.exe 244
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3084
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3120
C:\WINDOWS\Explorer.EXE 3148
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe 3660
C:\WINDOWS\system32\wscntfy.exe 3668
C:\WINDOWS\System32\alg.exe 3776
C:\WINDOWS\System32\CePMTray.exe 3400
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe 828
C:\Program Files\Logitech\iTouch\iTouch.exe 3224
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe 3500
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1952
C:\Program Files\QuickTime\qttask.exe 204
C:\WINDOWS\system32\LVCOMSX.EXE 3740
C:\Program Files\Logitech\Video\LogiTray.exe 3260
C:\Program Files\Java\jre6\bin\jusched.exe 3592
C:\Program Files\Logitech\MouseWare\system\em_exec.exe 180
C:\WINDOWS\system32\AEIWLSTA.EXE 3976
C:\WINDOWS\System32\hpha2mon.exe 1032
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 3884
C:\WINDOWS\system32\ctfmon.exe 3560
C:\WINDOWS\System32\HPHipm08.exe 3548
C:\Program Files\Microsoft ActiveSync\wcescomm.exe 3876
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 3980
C:\Program Files\TOSHIBA\NetDevSw\NetDevSW.exe 3928
C:\PROGRA~1\MICROS~3apimgr.exe 3216
C:\Program Files\Logitech\Video\FxSvr2.exe 4052
C:\Program Files\Outlook Express\msimn.exe 4076
C:\Documents and Settings\Jean-Pierre\Mes documents\Mes outils\Antispam\K9.exe 4032
C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe 2988
C:\Program Files\Internet Explorer\IEXPLORE.EXE 568
L:\Outils\List_Killem\List_Kill'em.exe 196
C:\WINDOWS\system32\cmd.exe 3356
C:\WINDOWS\system32\wbem\wmiprvse.exe 232
C:\Documents and Settings\Jean-Pierre\Local Settings\Temp\F.tmp\pv.exe 3392
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
 
¤¤¤¤¤¤¤¤¤¤ Files/folders deleted : 
  
Quarantine : 


==============
host file OK !
==============

========
Registry
========

============
Disk Cleaned
============
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch
 
NTOSBOOT-B00DFAAD.pf
Layout.ini
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

tu l'as actionné 2 fois !!??

jpmarce · Answer

Oui la première fois mon ordinateur s'est planté avant que je ne puisse copier ou lire  le rapport. A noter qu'à chaque fois que j'ai essayé de redémarrer mon antivirus Avast m'obligant à un redémarrage après avoir fait tournber ton programem list and kill them. 

Après ces deux passages, j'ai fait un scan complet de mon disque avec Avast qui a trouvé un virus dans un fichier TVplayer que je n'utilise jamais et que j'ai supprimé.

Merci.

gen-hackman · Answer

ok desinstalle AD-Aware

ensuite :

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur all

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt".

jpmarce · Answer

Merci, j'ai effacé ad-aware (pourquoi faut-il le faire?). J'ai mis les fichiers sur ci-joint.fr

OLT sur http://www.cijoint.fr/cjlink.php?file=cj200912/cijAg9fAAR.txt

Extras sur http://www.cijoint.fr/cjlink.php?file=cj200912/cijVzusQrt.txt

gen-hackman · Answer

&#9654 Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau. 

&#9654-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
 
&#9654-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 

&#9654- Coche la case devant : sites de confiance

&#9654- Ne coche aucune autre case 

&#9654-Clique sur Restaurer 

&#9654-Redémarre ton PC

ensuite :

&#9654 Double clic sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (ZIBho Class) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} -  File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-21-2165517387-3685698554-67682326-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2165517387-3685698554-67682326-1005\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-21-2165517387-3685698554-67682326-1005_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2165517387-3685698554-67682326-1005_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\Yinsthelper.dll (Reg Error: Key error.)
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/wmv9dmo.cab (Reg Error: Key error.)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37936.1144444444 (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O16 - DPF: STCJava https://vpn.overlap.fr/CACHE/webvpn/stc/1/binaries/stcjava.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O28 - HKLM ShellExecuteHooks: {EDB0E980-90BD-11D4-8599-0008C7D3B6F8} -  File not found

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdaptecDirectCD"=-
"Adobe Reader Speed Launcher"=-
"CP888M1"=-
"HP Software Update"=-
"hpfsched"=-
"LVCOMSX"=-
"QuickTime Task"=-
"TkBellExe"=-

:files
C:\Documents and Settings\All Users\Application Data\{C4C0E335-EDDF-46A0-A57D-F3802AE44275}


:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

jpmarce · Answer

Encore grand  merci!

Voici le rapport après la dernière manip:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{029CA12C-89C1-46a7-A3C7-82F2F98635CB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{029CA12C-89C1-46a7-A3C7-82F2F98635CB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-21-2165517387-3685698554-67682326-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-2165517387-3685698554-67682326-1005\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-2165517387-3685698554-67682326-1005_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-21-2165517387-3685698554-67682326-1005_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Starting removal of ActiveX control {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\Yinsthelper.dll
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\Yinsthelper.dll\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\Yinsthelper.dll\ not found.
Starting removal of ActiveX control {33564D57-9980-0010-8000-00AA00389B71}
C:\WINDOWS\Downloaded Program Files\wmv9dmo.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33564D57-9980-0010-8000-00AA00389B71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{33564D57-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-9980-0010-8000-00AA00389B71}\ not found.
Starting removal of ActiveX control {9F1C11AA-197B-4942-BA54-47A8489BB47F}
C:\WINDOWS\Downloaded Program Files\iuctl.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9F1C11AA-197B-4942-BA54-47A8489BB47F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F1C11AA-197B-4942-BA54-47A8489BB47F}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9F1C11AA-197B-4942-BA54-47A8489BB47F}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F1C11AA-197B-4942-BA54-47A8489BB47F}\ not found.
File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.
Starting removal of ActiveX control Microsoft XML Parser for Java
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.
Starting removal of ActiveX control STCJava
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\STCJava\DownloadInformation\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\STCJava\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\STCJava\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ deleted successfully.
File Protocol\Handler\ipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ deleted successfully.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}\ deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AdaptecDirectCD deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CP888M1 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\HP Software Update deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\hpfsched deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LVCOMSX deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TkBellExe deleted successfully.
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\{C4C0E335-EDDF-46A0-A57D-F3802AE44275} folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 3088073 bytes
 
User: Jean-Pierre
->Temp folder emptied: 26537 bytes
->Temporary Internet Files folder emptied: 442732 bytes
->Java cache emptied: 0 bytes
 
User: guest
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 199793 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 30947463 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 6248218 bytes
RecycleBin emptied: 745134 bytes
 
Total Files Cleaned = 39,91 mb
 
 
OTL by OldTimer - Version 3.1.11.9 log created on 12102009_152653

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS	emp\_avast4_\Webshlock.txt not found!
File move failed. C:\WINDOWS	emp\Perflib_Perfdata_5bc.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...

jpmarce · Answer

Je souhaiterai refaire toutes ces manips sur l'ordinateur d'une voisine. Est-ce qu'elles sont expliquées quelque part? Faut-il ouvrir un autre sujet?

gen-hackman · Answer

non chaque pc est different on ne peut reproduire une procedure d un pc a l autre

refais OTL stp comme indiqué ici :

https://forums.commentcamarche.net/forum/affich-15509716-analyse-hiijackthis#7

jpmarce · Answer

Merci, dois je refaire OTL sur mon ordi ou sur celui de ma voisine?

Voici déjà pour le mien:

OTL http://www.cijoint.fr/cjlink.php?file=cj200912/cijPvpSkre.txt

Extra http://www.cijoint.fr/cjlink.php?file=cj200912/cijNxOzgN9.txt

gen-hackman · Answer

bien :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

jpmarce · Answer

Voici le rapport après avoir passé Malwarebytes:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3340
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

10/12/2009 20:58:44
mbam-log-2009-12-10 (20-58-44).txt

Type de recherche: Examen complet (C:\|L:\|)
Eléments examinés: 197391
Temps écoulé: 1 hour(s), 11 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\Documents and Settings\Default User\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\guest\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Default User\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\guest\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.

gen-hackman · Answer

&#9654 Télécharge Superantispyware (SAS) 

&#9654 Choisis "enregistrer" et enregistre-le sur ton bureau. 

&#9654 Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions. 

&#9654 Créé une icône sur le bureau. 

&#9654 Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

&#9654- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 
&#9654- Sous Configuration and Preferences, clique sur le bouton "Preferences" 
&#9654- Clique sur l'onglet "Scanning Control " 
&#9654- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée : 

&#9654Close browsers before scanning 
&#9654Scan for tracking cookies 
&#9654Terminate memory threats before quarantining 

&#9654 Laisse les autres lignes décochées. 

&#9654 Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

&#9654 Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

&#9654 Dans la colonne de gauche, coche C:\Fixed Drive. 

&#9654 Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

&#9654 Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

&#9654 A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK. 

&#9654 Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

&#9654 Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

&#9654 - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
&#9654 - Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
&#9654- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

&#9654 - Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

&#9654 - Copie son contenu dans ta réponse. 


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

jpmarce · Answer

Voici le rapport de SUPERAntispyware:

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 12/11/2009 at 04:29 PM

Application Version : 4.31.1000

Core Rules Database Version : 4359
Trace Rules Database Version: 2204

Scan type       : Quick Scan
Total Scan Time : 01:22:11

Memory items scanned      : 570
Memory threats detected   : 0
Registry items scanned    : 645
Registry threats detected : 1
File items scanned        : 37435
File threats detected     : 8

Kontiki Download Manager Browser Helper Object
	HKU\S-1-5-21-2165517387-3685698554-67682326-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{029CA12C-89C1-46A7-A3C7-82F2F98635CB}

Adware.Tracking Cookie
	C:\Documents and Settings\Jean-Pierre\Cookies\jean-pierre@cetelem.solution.weborama[2].txt
	C:\Documents and Settings\Jean-Pierre\Cookies\jean-pierre@xiti[1].txt
	C:\Documents and Settings\Jean-Pierre\Cookies\jean-pierre@weborama[1].txt
	C:\Documents and Settings\Jean-Pierre\Cookies\jean-pierre@aimfar.solution.weborama[1].txt
	C:\Documents and Settings\Jean-Pierre\Cookies\jean-pierre@atdmt[2].txt
	C:\Documents and Settings\Jean-Pierre\Cookies\jean-pierre@doubleclick[1].txt
	C:\Documents and Settings\Jean-Pierre\Cookies\jean-pierre@bouyguestelecom.solution.weborama[2].txt
	C:\Documents and Settings\Jean-Pierre\Cookies\jean-pierre@smartadserver[1].txt

Etais-je vraiment très infecté?

Est-ce bon maintenant?

gen-hackman · Answer

vraiment infecté non mais on a fait du menage quand meme maintenant je pense que tu es bon , donc ,le final ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ________________________________________________ ▶ Tu peux supprimer ToolCleaner _________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware avec immunisation] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

jpmarce · Answer

Merci beaucoup, j'ai tout fait!

QUestion; Toolscleaner a souhaité effacer Hijackthis, est-ce normal? Dans le rapport j'avais:

C:\Hijackthis\HijackThis.exe: trouvé !
C:\Hijackthis\hijackthis.log: trouvé !

Enfin, ayant ouvert ce sujet avant de m'inscrire sur CCM, je ne peux pas le marquer "résolu" Peux-tu le faire pour moi?

gen-hackman · Answer

oui je m en occupe

oui c est normal

jpmarce · Answer

Après toutes ces manips voici que le menu démarer présente une colonne noire à gauche, voir à lURL suivante:

http://www.cijoint.fr/cj200912/cijd1TR9x6.jpg

Et la barre de lancement rapide ne marche plus.

gen-hackman · Answer

mets windows a jour

jpmarce · Answer

Merci, c'est fait. J'avais configuré la mise à jour automatique tous les jours et pourtant j'ai trouvé une maj datée du 8/12/09 qui n'était pas installée.

gen-hackman · Answer

toujours ton souci de menu demarrer noir ?

quelle etait cette mise a jour ?

jpmarce · Answer

Oui, le menu noir est revenu une fois ce matin avant la mise à jour suivante:
Mise à jour pour Windows XP (KB955759)

Pour effacer le menu noir, il suffit de redémarrer Windows mais cela prend un certian temps.

gen-hackman · Answer

attends je crois qu'il y a un conflit quelque part....tu as eu l'antivirus Norman d'installé ?

jpmarce · Answer

Non je n'ai jamais eu l'antivirus Norman sauf peut-être tout au début en 2003, mais je ne m'en rappelle plus car je l'ai, par ailleurs, désinstallé sur deux ordinateurs familiaux plus récents pour le remplacer par Avast!

gen-hackman · Answer

refais un OTL stp

jpmarce · Answer

Voici les résulats d OTL

Extras   http://www.cijoint.fr/cjlink.php?file=cj200912/cijBp273yw.txt

OTL  http://www.cijoint.fr/cjlink.php?file=cj200912/cijYqwmE4t.txt

gen-hackman · Answer

&#9654 Double clic sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :

CREATERESTOREPOINT

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\S-1-5-21-2165517387-3685698554-67682326-1005\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Get It With Kontiki - C:\Program Files\Kontiki\bin\bh304181.dll (Kontiki Networks)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\Yinsthelper.dll (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab (Java Plug-in 1.6.0_10)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)


:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\AIM\aim.exe"=-
"C:\Program Files\MSN Messenger\msncall.exe"=-
"C:\Program Files\MSN Messenger\livecall.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Njam
jam.exe"=-
"C:\Program Files\AIM\aim.exe"=-
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Program Files\WinPcappcapd.exe"=-
"C:\Program Files\CounterPath\X-Lite\x-lite.exe"=-
"C:\Program Files\X-Lite\X-Lite.exe"=-
"C:\Program Files\MSN Messenger\msncall.exe"=-
"C:\Program Files\NetMeeting\conf.exe"="C:\Program Files\NetMeeting\conf.exe:*:Enabled:Windows® NetMeeting®"
"E:\setup\HPZNET01.EXE"=-
"E:\setup\HPONICIFS01.EXE"=-
"C:\Program Files\Kontiki\bin\kontiki.exe"=-
"C:\Program Files\i-Media\ims.exe"=-
"C:\Program Files\T	.exe"=-
"C:\WINDOWS\System32\RUNDLL32.EXE"="C:\WINDOWS\System32\RUNDLL32.EXE:*:Enabled:Exécuter une DLL en tant qu'application"
"C:\Program Files\MSN Messenger\livecall.exe"=-

:files
C:\Documents and Settings\Jean-Pierre\Application Data\Kontiki
C:\Program Files\WinPcap

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

ensuite :

ton windows n'est pas a jour, mets-le a jour par l intermediaire de "Windows update" de ton menu demarrer

jpmarce · Answer

Bonjour,
Windows Update le dit je n'ai pas de mises à jour prioritaires pour Windows à faire, j'en fais la recherche et l'installation automatique tous les jours. 
Faut-il s'intéresser aux mies à jour facultatives? 

Voici le rapport OTL après RunFix

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2165517387-3685698554-67682326-1005\Software\Microsoft\Internet Explorer\URLSearchHooks\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver\ deleted successfully.
C:\WINDOWS\system32\GPhotos.scr moved successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Get It With Kontiki\ deleted successfully.
C:\Program Files\Kontiki\bin\bh304181.dll moved successfully.
Starting removal of ActiveX control {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\Yinsthelper.dll
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\Yinsthelper.dll\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\Yinsthelper.dll\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\WINDOWS\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\C:\Program Files\AIM\aim.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\C:\Program Files\MSN Messenger\msncall.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\C:\Program Files\MSN Messenger\livecall.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Njam
jam.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\AIM\aim.exe deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\WINDOWS\system32\sessmgr.exe"|"C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019" /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\WinPcappcapd.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\CounterPath\X-Lite\x-lite.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\X-Lite\X-Lite.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\MSN Messenger\msncall.exe deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\Program Files\NetMeeting\conf.exe"|"C:\Program Files\NetMeeting\conf.exe:*:Enabled:Windows® NetMeeting®" /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\E:\setup\HPZNET01.EXE deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\E:\setup\HPONICIFS01.EXE deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Kontiki\bin\kontiki.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\i-Media\ims.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\T	.exe deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"C:\WINDOWS\System32\RUNDLL32.EXE"|"C:\WINDOWS\System32\RUNDLL32.EXE:*:Enabled:Exécuter une DLL en tant qu'application" /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\MSN Messenger\livecall.exe deleted successfully.
========== FILES ==========
C:\Documents and Settings\Jean-Pierre\Application Data\Kontiki\Kontiki folder moved successfully.
C:\Documents and Settings\Jean-Pierre\Application Data\Kontiki\cnet	humbnails folder moved successfully.
C:\Documents and Settings\Jean-Pierre\Application Data\Kontiki\cnet folder moved successfully.
C:\Documents and Settings\Jean-Pierre\Application Data\Kontiki folder moved successfully.
File\Folder C:\Program Files\WinPcap not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Jean-Pierre
->Temp folder emptied: 14225 bytes
->Temporary Internet Files folder emptied: 547792 bytes
->Java cache emptied: 166687 bytes
 
User: guest
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 16552862 bytes
 
Total Files Cleaned = 16,56 mb
 
 
OTL by OldTimer - Version 3.1.17.0 log created on 12152009_095015

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS	emp\_avast4_\Webshlock.txt not found!
File move failed. C:\WINDOWS	emp\Perflib_Perfdata_5c4.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

jpmarce · Answer

J'avais déjà passé Malware il y a 5 jours, voici le rapport d'aujourd'hui:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3340
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

15/12/2009 11:32:38
mbam-log-2009-12-15 (11-32-38).txt

Type de recherche: Examen complet (C:\|L:\|)
Eléments examinés: 192273
Temps écoulé: 1 hour(s), 9 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

tu l as mis a jour avant de faire le scan ?

jpmarce · Answer

Non, je ne l'avais pas mis à jour. Je vais le relancer après mise à jour pendant le repas.

gen-hackman · Answer

;)

jpmarce · Answer

Voici le rapport après mise à jour:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3363
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

15/12/2009 14:01:54
mbam-log-2009-12-15 (14-01-54).txt

Type de recherche: Examen complet (C:\|L:\|)
Eléments examinés: 193054
Temps écoulé: 53 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

toujours des soucis ?

jpmarce · Answer

Non pas vraiment de problème bloquant. Le menu noir n'est apparu qu'une seule fois hier matin. Mais je n'ai rien corrigé depuis donc cela risque de se reproduire.

jpmarce · Answer

Autre petit souci: sur cet ordi l'affichage de la première ligne de Google prend de 5 à plus de 60 secondes après l'affiche de GOOGLE et du formulaire de saisie. Alors que sur un autre ordinateur sur le même réseau local, la page d'accueil de Google s'affiche en une seule fois et très vite.

gen-hackman · Answer

on va voir differemment :

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Analyse Hiijackthis

41 réponses

Discussions similaires