C:/windows/ehaqadiru.dll TROJAN Résolu/Fermé

Question

Bonjour,

J'ai un petit soucis, sinon, je ne serais pas ici.
J'ai avira qui me sort depuis quelques jours ceci: 

C:/windows/ehaqadiru.dll is the TR/Hiloti.150016D.33 TROJAN 

À CHAQUE fois qu'un programme s'ouvre: le screensaver, firefox, un jeu, photoshop, une fenêtre, désintaller un programme ; n'importe quoi. C'est l'enfer!!
Je sais pas d'ou ça viens; je ne suis pas la seule à utiliser cet ordinateur (familial).

Pourriez-vous m'aidez svp??

Merci infiniment!

Catherine

kalimusic · Accepted Answer

Bonsoir 

Télécharge la dernière version free d'Antivir en français
tuto : https://kerio.probb.fr/t3106-tuto-antivir-antivirus-version-franaise

Après la mise à jour, fait un scan complet et poste le rapport

A +

Utilisateur anonyme · Answer

ben quand ton antivirus taverti ya pas les option reparer supprimer ou mettre en 4rentaine ???

kalimusic · Answer

Bonjour et Bienvenue sur CCM

Télécharge  random's system information tool (RSIT)  (de Random/Random) sur le bureau.

 !! Ferme toutes tes applications en cours !! 

    * Lance RSIT en double cliquant sur son icône
    * La fenêtre de Disclaimer apparait : clique sur "Continue" (laisse par défaut 1 month)
    * Si HijackThis n'est pas présent, pas à jour ou non détecté sur l'ordinateur, il sera téléchargé : Tu dois l'autoriser et accepter la licence.
    * Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : log.txt (qui sera affiché) ainsi que de info.txt (dans la barre des tâches)
    * Copie-colle les rapports dans ton prochain message 

Si les rapports ne s'ouvrent pas spontanément ils se trouvent dans le répertoire suivant : C:\rsit\

A +

kalimusic · Answer

Bonsoir Catherine

Afin de faciliter nos échanges et de suivre plus facilement le sujet , je te recommande de t'inscrire, merci.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

**********

Il y a plusieurs infections à traiter. On va commencer par le fichier récalcitrant.
Pendant la durée de la procédure, tu dois désactiver le module Tea Timer de Spybot S&D sous peine de faire échouer la désinfection.
https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/
Aide en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demo%20spybot.htm

**********

1.  Télécharge OTM  (de Old_Timer) sur le bureau

    * Lance l'outil en faisant un double clic sur l'icône OTM
    * La fenêtre principale de l'outil s'ouvre :
    * Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"


:Files
C:\windows\ehaqadiru.dll

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"Dbagasejad"=-

:Commands
[purity]
[emptytemp]


    * Clique sur MoveIt ! pour lancer la suppression
    * A la fin du processus le PC va redémarrer
    * Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTMoveIt\MovedFile


**********

Je vois que tu as déjà essayer Ad-Remover, mais sans succès.
Tu as installé ou accepté d'installer avec un logiciel tiers des barres d'outils ou de recherches néfastes ou douteuses.
infos = https://forum.malekal.com/viewtopic.php?f=45&t=6173

Si possible essaye de désinstaller via Ajout/Suppr de Programmes ces barres d'outils :  

DAEMON Tools Toolbar
Dealio Toolbar 
Search Settings v1.2.3 

2. Télécharge AD-Remover (CC_X) sur le bureau et installe le dans le répertoire suivant C:\Program Files\Ad-remover

Désactive la protection résidente de ton anti-virus (clic-droit, décoche "Activer Antivir Guard") ainsi que tea timer

* Double clique sur l'icône Ad-Remover du bureau, clique sur "Oui" dans la boite de dialogue
* Au menu principal choisi l'option "L (Lancer le nettoyage )" puis Entrée
* Patiente le temps du scan (le bureau peut disparaitre), appuie sur n'importe quelle touche quand l'outil te le demandera.

Copie/colle le rapport dans ton prochain message.

Si le rapport ne s'ouvrent pas spontanément, il se trouve à la racine du disque C:\Ad-report(date).log

Note : "Process.exe" est détecté par certains antivirus comme étant un RiskTool.


**********

3. Télécharge et installe  UsbFix  (par El Desaparecido & C_XX) sur le Bureau
    * ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!
    * Double clique sur l'icône UsbFix présent sur le bureau
    * Choisis l'option 1 "Recherche"
    * Le rapport doit s'ouvrir spontanément à la fin du scan
    * Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\USBfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
Le mieux est de désactiver temporairement à Antivir


A +

zoee_catherine · Answer

Merci kalimusic, j'apprécie beaucoup!

Je me suis enregistrer comme tu me l'as suggéré.

Voici le premier rapport (OTM)

All processes killed
========== FILES ==========
DllUnregisterServer procedure not found in C:\windows\ehaqadiru.dll
C:\windows\ehaqadiru.dll moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 2882101 bytes
 
User: All Users
 
User: Client
->Temp folder emptied: 53859749 bytes
->Temporary Internet Files folder emptied: 18814433 bytes
->Java cache emptied: 1645627 bytes
->FireFox cache emptied: 102018569 bytes
 
User: Default User
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 2303152 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134506 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1108302 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23935758 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33886 bytes
RecycleBin emptied: 112405 bytes
 
Total Files Cleaned = 199,00 mb
 
 
OTM by OldTimer - Version 3.1.8.0 log created on 02152010_162811

Files moved on Reboot...

Registry entries deleted on Reboot...

zoee_catherine · Answer

Voilà, pour ce qui est de daemon tools toolbar, j'ai réussis à le désinstaller avec ajout/suppression de programmes.
Par contre, impossible de supprimer Search Settings v1.2.3.  On me répond que ''Le composant que vous essayer d'utiliser se trouve sur une ressource réseau non diponible''. (J'avoue, c'est la première fois que je vois ce message dans ce programme, je sais pas trop quoi en penser...)
Pour ce qui est de Dealio Toolbar je ne l'ai pas trouvé dans mon ajout/supp, donc j'ai fait une recherche dans démarrer-rechercher. 
Il est dans AD-REMOVER/QUARANTINE/Progra-1/.
Dois-je le supprimé dans ad-remover ou je le laisse là puisqu'il est en quarantaine??

Enfin, voici le rapport de Ad-remover:

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:38:46, 2010-02-15 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: MARC-CATHERINE | Utilisateur actuel: Client
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.


(!) -- Fichiers temporaires supprimés.
 
.
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
 Nom du profil: lh7gmxsi.default (Client)
.
(Client, prefs.js) Browser.download.lastDir, D:\Mes images
(Client, prefs.js) Browser.startup.homepage, hxxp://qc.yahoo.com/
(Client, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}:6.0.10,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,{65EE8DEB-5FF8-4CE0-AAD5-2FF7A3724000}:1.9.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
(Client, prefs.js) Privacy.popups.showBrowserMessage, false
. 
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish Games - Home Sweet Home 2  Kitchens and Baths   Adnan Boy 2008   Precracked [smaragdtorrent.to].torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish_Games_-_Avenue_Flo_-_zibbik_-_Precrack.5125444.TPB.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Game Copy Wizard - Copy and Backup Virtually Any Game Easily Cracked Jan 2010.exe.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\Game Copy Wizard - Copy and Backup Virtually Any Game Easily Cracked Nov 2009.exe ---[www.btscene.com]--- .torrent
C:\Documents and Settings\Client\Bureau\Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar
C:\Documents and Settings\Client\Mes documents\T‚l‚chargements\LimeWire-Acceleration-Patch-6.0.4.0.exe
.
===================================
.
9552 Octet(s) - C:\Ad-Report-CLEAN[1].log 
3378 Octet(s) - C:\Ad-Report-CLEAN[2].log 
.
1 Fichier(s) - C:\DOCUME~1\Client\LOCALS~1\Temp 
2 Fichier(s) - C:\windows\Temp 
9 Fichier(s) - C:\windows\Prefetch 
.
34 Fichier(s) - C:\Ad-Remover\BACKUP
116 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 16:45:45 | 2010-02-15 - CLEAN[2]
.
============== E.O.F ==============
.

moment de grace · Answer

bonsoir

juste en passant

le TeaTimer de Spybot peut géner les outils utilsés...

bonne continuation

zoee_catherine · Answer

Et voici le rapport UBSFIX

Merci encore pour tout!

############################## | UsbFix V6.095 |

User : Client (Administrateurs) # MARC-CATHERINE
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:00:10 | 2010-02-15
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition 8.0.1.30 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 38,28 Go (16,55 Go free) [Windows XP] # NTFS
D:\ -> Disque fixe local # 38,28 Go (6,02 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 3,72 Go (3,72 Go free) [KINGSTON] # FAT32

############################## | Processus actifs |

C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32
vsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\windows\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\windows\system32\ctfmon.exe
C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\SearchProtocolHost.exe
C:\windows\system32\SearchFilterHost.exe
C:\windows\system32\wscntfy.exe
C:\windows\system32\wbem\wmiprvse.exe

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{b0a60667-bfe9-11de-a9fa-000e7f2c87c0}
Shell\AutoRun\command =wscript.exe .\.vbs
Shell\open\command =wscript.exe .\.vbs

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.095 ! |

kalimusic · Answer

Bonsoir moment de grace

Merci d'être passer par là mais regarde bien, c'était précisé au début de mon message de désactiver Tea Timer pendant toute la procédure : https://forums.commentcamarche.net/forum/affich-16596240-c-windows-ehaqadiru-dll-trojan#6

pour Catherine : As-tu bien désactiver le tea timer comme demandé ?

A +

kalimusic · Answer

Bonsoir Catherine

Peux tu me confirmer la désactivation du tea timer  quand tu as lancé Ad-Remover ?
Pour les 3 logiciels que je t'avais demandé de désinstaller, j'avais précisé : Si possible essaye de désinstaller.... Donc c'est bon.

Je sais qu'il y a plusieurs utilisateurs sur ce PC, mais il faut supprimer ces cracks vecteurs d'infections afin d'optimiser la réussite de la procédure.

============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish Games - Home Sweet Home 2 Kitchens and Baths Adnan Boy 2008 Precracked [smaragdtorrent.to].torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish_Games_-_Avenue_Flo_-_zibbik_-_Precrack.5125444.TPB.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Game Copy Wizard - Copy and Backup Virtually Any Game Easily Cracked Jan 2010.exe.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\Game Copy Wizard - Copy and Backup Virtually Any Game Easily Cracked Nov 2009.exe ---[www.btscene.com]--- .torrent
C:\Documents and Settings\Client\Bureau\Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar
C:\Documents and Settings\Client\Mes documents\T‚l‚chargements\LimeWire-Acceleration-Patch-6.0.4.0.exe 

Informations utiles :
http://www.infos-du-net.com/forum/273143-7-cracks-risques
https://www.commentcamarche.net/infos/25921-pourquoi-ccm-n-aide-pas-la-contrefacon-numerique-des-logiciels/

une fois les fichiers supprimés

Ferme toutes tes applications en cours

!! Désactive la protection résidente de ton anti-virus ainsi que le tea timer !!

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

    * Relance UsbFix en choisissant maintenant l'option 2 "suppression"
    * Le bureau va disparaître et le système va redémarrer
    * Au redémarrage, UsbFix scanne ton pc, laisse travailler l’outil.
    * Le rapport doit s'ouvrir spontanément à la fin du nettoyage
    * Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\UsbFix.txt

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


A +

zoee_catherine · Answer

Oui oui j'ai bien désactiver Teatimer comme demandé pour les scans!

J'ai eu un doute, je l'avais désactivé avec de faire le scan de OTM, et il est encore désactivé.
J'ai aussi désactivé avira comme tu l'as demandé

Merci

Catherine

kalimusic · Answer

Bonjour Catherine

Bonnes résolutions !!

 Oui oui j'ai bien désactiver Teatimer comme demandé pour les scans! 
J'avais juste un doute pour le scan de AD-Remover, car on ne peut pas le voir dans son rapport si tu l'avais désactivé ou pas.
Pour OTM, moindre mal car on sera certainement amené à le réutiliser. J'ai commencé par le fichier récalcitrant de peur qu'il t'embête pour faire les manipulations qui suivaient. Comme il n'a pas réussi à modifier le registre, le tea timer était peut-être activé.
Pour UsbFix, je vois que c'est bon, tu peux donc passer à l'option 2, en suivant les indications donnés ici: 
https://forums.commentcamarche.net/forum/affich-16596240-c-windows-ehaqadiru-dll-trojan#14

A +

kalimusic · Answer

Bonsoir Catherine

Il y a sur le PC, 2 logiciels de P2P : Azureus Vuze et Limewire

Ces logiciels sont tout à fait légitimes et le système est légal au départ, puisqu'il s'agissait de partager des fichiers libres de droits ou en accord avec les propriétaires.
Aujourd'hui tout le monde sait qu'il servent à se procurer gratuitement des films, des logiciels, des musiques, etc...
https://fr.wikipedia.org/wiki/P2p
https://fr.wikipedia.org/wiki/BitTorrent_%28protocole%29

Les éditeurs de virus en sont conscients, et profitent de la naïveté et de la méconnaissance des internautes pour les infecter.
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?f=33&t=893


*********

1. Télécharge ATF  (par A-Tribune) sur le bureau et lance le en double cliquant sur son icône

    * Choisis ton navigateur (IE ou firefox ou opera ).
    * Coche Select All
    * Clique sur Empty Selected
      (Si tu souhaites conserver les mots de passe sauvegardés, clique No à l'invite)
    * Accepte de tout supprimer 

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant


2. Télécharge MBAM  et installe le selon l'emplacement suivant C:\Program Files\MalwareBytes'Anti-Malware
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression, copie/colle le rapport dans le prochain message. 

3. Relance l'outil de diagnostic RSIT que nous avons utilisé au début.
Cette fois un seul fichier log.txt va s'ouvrir, poste le 
(reporte toi au message correspondant si besoin pour la manipulation)

A +

zoee_catherine · Answer

Ok, ATF c'est fait, et après 2h de scan de malwarebytes, voici ce que ça donne:

(et merci pour les renseignements sur azureus et torrent. J'en connais 2 qui vont se faire parler dans le casque  ce soir pour télécharger des jeux ''precraked'' infectés)

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3746
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

2010-02-16 16:07:59
mbam-log-2010-02-16 (16-07-59).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 223659
Temps écoulé: 2 hour(s), 13 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\FarmVilleBot\parser.exe (Trojan.Agent) -> Quarantined and deleted successfully.

zoee_catherine · Answer

Et voici RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Client at 2010-02-16 16:14:55
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 17 GB (43%) free of 39 GB
Total RAM: 1535 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:11, on 2010-02-16
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32
vsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\windows\system32\ctfmon.exe
C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Client\Mes documents\Téléchargements\RSIT(4).exe
C:\windows\system32\SearchProtocolHost.exe
C:\Program Files	rend micro\Client.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Dbagasejad] rundll32.exe "C:\windows\ehaqadiru.dll",Startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Open with WordPerfect - d:\WordPerfect Office X4\WordPerfect Office X4\Programs\WPLauncher.hta
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe

kalimusic · Answer

Bonsoir Catherine

Très bien, on continue.

Il serait préférable de désinstaller ce programme dont l'éditeur me parait douteux :
 MassTube 4.55  (infos : https://www.mywot.com/fr/scorecard/zyntaxis.idoo.com)
> Panneau de configuration > Ajout/Suppr de Programmes

Ferme toutes tes applications en cours

!! Désactive la protection résidente de ton anti-virus ainsi que le tea timer !! 

    * Relance OTM en faisant un double clic sur son icône
    * La fenêtre principale de l'outil s'ouvre :
    * Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"


:Files
C:\windows\ehaqadiru.dll
C:\windows\system32\drivers\ap1jdzh9.sys
C:\windows\system32\drivers\ancy13dd.sys 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"Dbagasejad"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]"{32099AAC-C132-4136-9E9A-4E364A424E17}"=- 

:Commands
[purity]
[emptytemp]


    * Clique sur MoveIt ! pour lancer la suppression
    * A la fin du processus le PC va redémarrer
    * Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTMoveIt\MovedFile

******

Relance HijackThis 

    * Dans la fenêtre principale "Main Menu" clique sur le bouton "None of the above, just start the program"
    * Clique sur le bouton Scan (dans le sous-menu Scan & fix stuff)
    * Après le balayage, coche les cases des lignes indiquées si toujours présentes : 


O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll 
O4 - HKLM\..\Run: [Dbagasejad] rundll32.exe "C:\windows\ehaqadiru.dll",Startup     


    * Ferme toutes les applications en cours et surtout le navigateur Internet !
    * Clique ensuite sur le bouton Fix checked (dans le sous-menu Scan & fix stuff)
    * Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression. 

******

Comment se comporte le PC maintenant ?

A +

zoee_catherine · Answer

Bon, ça en fais des manoeuvres, mais si c'est pour le dégripper, je suis pour!

Voici le rapport OTM

All processes killed
========== FILES ==========
File/Folder C:\windows\ehaqadiru.dll not found.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
 
User: All Users
 
User: Client
->Temp folder emptied: 1080184 bytes
->Temporary Internet Files folder emptied: 4188421 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 81347962 bytes
 
User: Default User
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 40960 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 83,00 mb
 
 
OTM by OldTimer - Version 3.1.8.0 log created on 02162010_181104

Files moved on Reboot...

Registry entries deleted on Reboot...

kalimusic · Answer

Re- Bonsoir Catherine

Non désolé c'est bien le bon (je sais pas lire les dates) ! Tu avais bien désactivé tea timer ??

A +

kalimusic · Answer

on s'est croisés regarde : https://forums.commentcamarche.net/forum/affich-16596240-c-windows-ehaqadiru-dll-trojan#23

zoee_catherine · Answer

Bon, mis à part, j'ai fait ce que tu m'as demandé avec Hijackthis, et j'ai supprimé ces deux éléments qui y étaient encore:
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Dbagasejad] rundll32.exe "C:\windows\ehaqadiru.dll",Startup

Sinon depuis, le Pc roule bien; pas de bip à chaque fois qu'on ouvre un programme (enfin!!).
Par contre, à chaque fois qu'il redémarre, j'ai un message d'erreur me disant: 
Erreur de chargement:
C:/windows /ehaqadiru.dll
Le module spécifié est introuvable.

Mais sinon tout beigne, et c'est bien grace à toi et a ta patience! ;)

kalimusic · Answer

Ok vu pour Hijackthis

Je suis désolé d'insister mais comme je vois que OTM n'arrive pas à modifier le registre, le tea timer de spybot était bien désactivé ?

Je vois que tu as déjà Ccleaner : Fait un nettoyage des fichiers avec le nettoyeur et du registre comme indiqué au chapitre 4 & 5 => Tuto : http://www.6ma.fr/tuto/ccleaner+v202-411

Redémarre le PC et dit moi si le message d'erreur persiste.

Refait un scan avec RSIT, stp (et oui désolé c'était presque fini, mais 2 éléments me contrarient et je lâche pas l'affaire facilement)

A +

zoee_catherine · Answer

Eh bien, bonne nouvelle! Aucune alerte, ni message d'erreur au redémarrage!!
Tout est calme, rien de bip ou ne crie et rien ne menace d'exploser... ahhh, génial!!

Voici le rapport RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Client at 2010-02-16 18:58:00
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 17 GB (44%) free of 39 GB
Total RAM: 1535 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:12, on 2010-02-16
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\windows\system32\ctfmon.exe
C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32
vsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\windows\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\wuauclt.exe
C:\windows\system32\SearchProtocolHost.exe
C:\Documents and Settings\Client\Mes documents\Téléchargements\RSIT(6).exe
C:\Program Files\Trend Micro\HijackThis\Client.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Open with WordPerfect - d:\WordPerfect Office X4\WordPerfect Office X4\Programs\WPLauncher.hta
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe

zoee_catherine · Answer

Je suis partie sur une go:
J'ai bien vu que dans les éléments que tu m'as fais supprimé il y avait pas mal de programme de jeux, dans le genre Dinerdash et autre.
Je viens d'aller sur panneau de configuration ajout/suppression de programmes et je suis incapable de les supprimer.
Par exemple, pour 1001 Bites DinerDash, Hometown Hero Gourmet (c'est quoi ça!?)  il me répond:
Could not open INSTALL.LOG
Pour les porgrammes de jeux comme Home Sweet Home 2 Kitchens and Baths et Real Crime - Unicorn Killer il me dit:
Invalid unistall control file: C:/ProgramFiles/Home Sweet Home 2 Kitchens and Baths/Uninstall/Uninstall.xml
(même chose pour Real crime unicorn killer)
Vaut-il mieux que je m'arrange pour les supprimer ou bien je peux les laisser là sans qu'ils gêne?

kalimusic · Answer

Bonjour Cartherine

OK super, si tout va bien ! Effectivement sur le dernier rapport les derniers éléments de registres sont partis bien que le script OTM ne le montre pas .

Je t'avais demandé seulement de désinstaller Masstube, les autres jeux sont semblent-ils ok, après bien sûr certains jeux fiables peuvent être téléchargées à partir de sites non fiables... 

Si besoin télécharge Revouninstaller, c'est un logiciel qui aide à désinstaller les programmes,
tuto : http://www.6ma.fr/tuto/revo-uninstaller-pour-desinstaller-des-programmes/ 


On va procéder à une dernière vérification de routine :

Fait un scan complet avec ton anti-virus Antivir avec ces paramètres :
https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal
Vérifie bien ceci également
outils > configuration > coche mode expert > 

case à cocher : Recherche de Rootkits au démarrage de la recherche

Recherche > Actions en cas de résultats positifs :

Action principale.............................: réparer
Action secondaire.............................: renommer 


Si tout va bien, on désinstalleras les outils utilisés proprement ensuite, A +

zoee_catherine · Answer

Bonjour kalimusic!
Merci pour le programme; je vais le télécharger après mon scan qui est en cour. 
Petite info, ce matin en me levant, il y avait un message de avira sur l'écran (l'ordinateur est resté en veille toute la nuit) et ça disait:
C:/System Volume Information/.../A0001835.exe is the TR/Trash.Gen Trojan

Zut... je te refais des scans pour vérifier?

kalimusic · Answer

Salut Catherine

Non, c'est normal, nous n'avons pas encore purgé les anciens points de restauration du système et nous n'avons pas non plus encore supprimé les outils. C'est pour cette raison que Antivir peut trouver des éléments infectés soit dans la restauration du système soit dans les quarantaines des outils.
C'est le cas ici C:/System Volume Information/ = Restauration du système
C'est pour cela qu'il me faut le rapport de scan pour voir s'il n'en trouve pas ailleurs. Ensuite on purgeras la restauration du système et on désinstalleras les outils .

A +

gen-hackman · Answer

salut pour OTM , c'etait :

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Dbagasejad"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-

kalimusic · Answer

salut gen-hackman

Merci d'être passé par là, depuis le début je cherche pourquoi OTM ne modifie pas le registre, et je me suis focalisé sur Spybot.

A +

gen-hackman · Answer

;)

kalimusic · Answer

Bonsoir

1. Supprime les anciens points de restauration : 

Clique sur le Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/)
    * Clique sur Propriétés
Dans la fenêtre qui s'ouvre dans l'onglet général
    * Clique sur Nettoyage de disque
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir.
    * Choisit le 2ème onglet Autres options puis l'item Restauration du système
    * Valide la boîte de dialogue qui s'affiche en cliquant sur Oui
    * Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK 

2. Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le bureau et exécute le

    * Clique sur Recherche et laisse le scan se terminer
    * Clique ensuite sur Suppression
    * Clique sur Quitter, pour que le rapport puisse se créer
    * Poste le dans ton prochain message 

A +

Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)

gen-hackman · Answer

antivir est obsolete

kalimusic · Answer

Bonsoir Catherine

Pas de soucis, moi aussi j'ai une vie de famille
Par contre c'est vrai que c'est dommage car on était pas loin de la fin et justement dans une désinfection, il faut aller jusqu'au bout.
Pour Antivir, c'est vrai que je ne suis pas aperçu à temps que tu avais la version 8, mais elle est encore mise à jour par l'éditeur Avira. Il est préférable bien sûr d'installer la nouvelle.
Mais on commence par réparer l'oubli...

    * Télécharge et installe UsbFix   (par El Desaparecido & C_XX) sur le Bureau
    * ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!
    * Double clique sur l'icône UsbFix présent sur le bureau
    * Au menu principal choisis F pour français et valide par Entrée
    * Choisis l'option 1 "Recherche"
    * Patiente le temps du balayage qui peut durer plusieurs minutes
    * Le rapport doit s'ouvrir spontanément à la fin du scan
    * Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\USBfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
Le mieux est de désactiver temporairement Antivir

A +

zoee_catherine · Answer

Bon j'ai installé tant bien que mal Avtivir et voici le rapport:
Je me lance avec Usbfix par la suite (avec le PSP BRANCHÉ!! :))



Avira AntiVir Personal
Date de création du fichier de rapport : 25 février 2010  18:13

La recherche porte sur 1792206 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : MARC-CATHERINE

Informations de version :
BUILD.DAT               : 9.0.0.74      21698 Bytes  04/12/2009 13:56:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  13/10/2009 16:25:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 15:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 16:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 15:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 12:35:52
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 23:11:50
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 23:12:02
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 23:12:07
VBASE004.VDF            : 7.10.3.76      2048 Bytes  26/01/2010 23:12:07
VBASE005.VDF            : 7.10.3.77      2048 Bytes  26/01/2010 23:12:07
VBASE006.VDF            : 7.10.3.78      2048 Bytes  26/01/2010 23:12:07
VBASE007.VDF            : 7.10.3.79      2048 Bytes  26/01/2010 23:12:07
VBASE008.VDF            : 7.10.3.80      2048 Bytes  26/01/2010 23:12:08
VBASE009.VDF            : 7.10.3.81      2048 Bytes  26/01/2010 23:12:08
VBASE010.VDF            : 7.10.3.82      2048 Bytes  26/01/2010 23:12:08
VBASE011.VDF            : 7.10.3.83      2048 Bytes  26/01/2010 23:12:08
VBASE012.VDF            : 7.10.3.84      2048 Bytes  26/01/2010 23:12:08
VBASE013.VDF            : 7.10.3.85      2048 Bytes  26/01/2010 23:12:08
VBASE014.VDF            : 7.10.3.122    172544 Bytes  29/01/2010 23:12:09
VBASE015.VDF            : 7.10.3.149     79872 Bytes  01/02/2010 23:12:10
VBASE016.VDF            : 7.10.3.174     68608 Bytes  03/02/2010 23:12:11
VBASE017.VDF            : 7.10.3.199     76800 Bytes  04/02/2010 23:12:11
VBASE018.VDF            : 7.10.3.222     64512 Bytes  05/02/2010 23:12:12
VBASE019.VDF            : 7.10.3.243     75776 Bytes  08/02/2010 23:12:13
VBASE020.VDF            : 7.10.4.6      81920 Bytes  09/02/2010 23:12:14
VBASE021.VDF            : 7.10.4.30     78848 Bytes  11/02/2010 23:12:14
VBASE022.VDF            : 7.10.4.50    107520 Bytes  15/02/2010 23:12:15
VBASE023.VDF            : 7.10.4.62    105472 Bytes  15/02/2010 23:12:16
VBASE024.VDF            : 7.10.4.85    111616 Bytes  17/02/2010 23:12:17
VBASE025.VDF            : 7.10.4.109    122368 Bytes  21/02/2010 23:12:17
VBASE026.VDF            : 7.10.4.128    109056 Bytes  23/02/2010 23:12:18
VBASE027.VDF            : 7.10.4.129      2048 Bytes  23/02/2010 23:12:18
VBASE028.VDF            : 7.10.4.130      2048 Bytes  23/02/2010 23:12:19
VBASE029.VDF            : 7.10.4.131      2048 Bytes  23/02/2010 23:12:19
VBASE030.VDF            : 7.10.4.132      2048 Bytes  23/02/2010 23:12:19
VBASE031.VDF            : 7.10.4.147    110080 Bytes  25/02/2010 23:12:20
Version du moteur       : 8.2.1.176
AEVDF.DLL               : 8.1.1.3      106868 Bytes  25/02/2010 23:12:32
AESCRIPT.DLL            : 8.1.3.17    1032570 Bytes  25/02/2010 23:12:32
AESCN.DLL               : 8.1.5.0      127347 Bytes  25/02/2010 23:12:30
AESBX.DLL               : 8.1.2.0      254323 Bytes  25/02/2010 23:12:33
AERDL.DLL               : 8.1.4.2      479602 Bytes  25/02/2010 23:12:29
AEPACK.DLL              : 8.2.0.8      426357 Bytes  25/02/2010 23:12:28
AEOFFICE.DLL            : 8.1.0.39     196987 Bytes  25/02/2010 23:12:27
AEHEUR.DLL              : 8.1.1.7     2326902 Bytes  25/02/2010 23:12:26
AEHELP.DLL              : 8.1.10.1     237942 Bytes  25/02/2010 23:12:22
AEGEN.DLL               : 8.1.2.0      373107 Bytes  25/02/2010 23:12:21
AEEMU.DLL               : 8.1.1.0      393587 Bytes  08/11/2009 12:38:26
AECORE.DLL              : 8.1.12.1     188790 Bytes  25/02/2010 23:12:21
AEBB.DLL                : 8.1.0.3       53618 Bytes  08/11/2009 12:38:20
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 13:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  26/08/2009 20:13:31
AVREP.DLL               : 8.0.0.7      159784 Bytes  25/02/2010 23:12:34
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 20:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 20:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 15:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 20:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 13:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 20:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 18:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  02/11/2009 21:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Bref contrôle système après installation
Fichier de configuration......................: c:\program files\avira\antivir desktop\setupprf.dat
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: arrêt
Archive Smart Extensions......................: arrêt
Types d'archives divergents...................: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : 25 février 2010  18:13

La recherche d'objets cachés commence.
'54970' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'daemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WeatherEye.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GrooveMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxczbmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxczbmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LEXPPS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LEXBCES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'41' processus ont été contrôlés avec '41' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).



Fin de la recherche : 25 février 2010  18:18
Temps nécessaire: 04:12 Minute(s)

La recherche a été effectuée intégralement

      0 Les répertoires ont été contrôlés
     95 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de contrôler des fichiers
     95 Fichiers non infectés
      0 Les archives ont été contrôlées
      0 Avertissements
      0 Consignes
  54970 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

zoee_catherine · Answer

Et voilà pour usbfix:


############################## | UsbFix V6.097 |

User : Client (Administrateurs) # MARC-CATHERINE
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:26:57 | 2010-02-25
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 38,28 Go (17,32 Go free) [Windows XP] # NTFS
D:\ -> Disque fixe local # 38,28 Go (7,93 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 464,58 Mo (347,8 Mo free) # FAT32

############################## | Processus actifs |

C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\windows\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\windows\system32\ctfmon.exe
C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32
vsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\System32\alg.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\wscntfy.exe
C:\windows\system32\SearchProtocolHost.exe
C:\windows\system32\SearchFilterHost.exe
C:\windows\system32\wbem\wmiprvse.exe

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | ! Fin du rapport # UsbFix V6.097 ! |

gen-hackman · Answer

95 Des fichiers ont été contrôlés 

???????????????????????

kalimusic · Answer

Bonsoir

Le scan de contrôle d'Antivir est OK, et UsbFix ne vois rien d'infectieux.
Quand tu dis "J'ai vérifié, et oui. Infecté" tu as fait comment stp ?
Sinon comment se comporte le PC (à part la souris). On va vérifier en détail

1. Ferme toutes tes applications en cours

!! Désactive la protection résidente de ton anti-virus !!
(Clic-droit sur l'icône parapluie prés de l'heure, décoche activer antivir guard) 

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

    * Relance UsbFix en choisissant maintenant l'option 2 "Suppression"
    * Le bureau va disparaître et le système va redémarrer
    * Au redémarrage, UsbFix scanne ton pc, laisse travailler l’outil.
    * Le rapport doit s'ouvrir spontanément à la fin du nettoyage
    * Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\UsbFix.txt

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus 

Réactive Antivir

2. Télécharge  random's system information tool (RSIT)  (de Random/Random) sur le bureau.

 !! Ferme toutes tes applications en cours !! 

    * Lance RSIT en double cliquant sur son icône
    * La fenêtre de Disclaimer apparait : clique sur "Continue" (laisse par défaut 1 month)
    * Si HijackThis n'est pas présent, pas à jour ou non détecté sur l'ordinateur, il sera téléchargé : Tu dois l'autoriser et accepter la licence.
    * Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : log.txt (qui sera affiché) ainsi que de info.txt (dans la barre des tâches)
    * Copie-colle les rapports dans ton prochain message 

Si les rapports ne s'ouvrent pas spontanément ils se trouvent dans le répertoire suivant : C:\rsit\

A +

zoee_catherine · Answer

Voici pour ubsfix:
(pour le psp, quand je l'ai branché sur l'ordinateur, antivir m'a automatiquement bipper. Malheureusement, je n'ai pas noté le nom, mais c'était un Trojan...)


############################## | UsbFix V6.097 |

User : Client (Administrateurs) # MARC-CATHERINE
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:39:29 | 2010-02-25
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 38,28 Go (17,19 Go free) [Windows XP] # NTFS
D:\ -> Disque fixe local # 38,28 Go (7,93 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 464,58 Mo (347,8 Mo free) # FAT32

############################## | Processus actifs |

C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32
vsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\wuauclt.exe
C:\windows\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\windows\System32\alg.exe
C:\windows\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-151556770-57175745-3793609141-1004 
Supprimé ! D:\Recycler\S-1-5-21-151556770-57175745-3793609141-1004 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[2010-02-01 13:42|--a------|9552] C:\Ad-Report-CLEAN[1].log 
[2010-02-15 16:45|--a------|3716] C:\Ad-Report-CLEAN[2].log 
[2008-07-25 12:22|--a------|0] C:\CONFIG.SYS 
[2008-07-25 12:22|-rahs----|0] C:\IO.SYS 
[2009-12-06 10:46|--a------|3789] C:\LGSInst.Log 
[2008-07-25 12:22|-rahs----|0] C:\MSDOS.SYS 
[2008-11-30 14:42|--a------|43866] C:
1089774544_30026067_6704.jpg 
[2008-11-30 14:38|--a------|58177] C:
736095551_1022062_3169.jpg 
[2004-08-05 07:00|-rahs----|47564] C:\NTDETECT.COM 
[2008-07-25 14:23|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[2008-09-25 20:01|--a------|168] C:\setupfax.log 
[2010-02-17 15:05|--a------|2115] C:\TCleaner.txt 
[2009-04-04 13:58|--ahs----|34304] C:\Thumbs.db 
[2010-02-25 19:44|--a------|3187] C:\UsbFix.txt 
[2010-02-16 11:22|--a------|2233] C:\UsbFix_Upload_Me_MARC-CATHERINE.zip 
[2009-07-13 13:02|--a------|8356] D:\Acknowledgements.rtf 
[2007-11-23 18:35|--a------|0] D:\AUTOEXEC.BAT 
[2008-09-21 21:19|-rahs----|282] D:\boot.ini 
[2002-09-06 15:00|-rahs----|4952] D:\Bootfont.bin 
[2009-07-13 13:02|--a------|722160] D:\CDDBControlApple.dll 
[2007-11-23 18:35|--a------|0] D:\CONFIG.SYS 
[2008-09-23 12:26|--ahs----|1073270784] D:\hiberfil.sys 
[2010-01-16 14:41|--a------|4681490432] D:\INGLOURIOUS_BASTERDS.ISO 
[2007-11-23 18:35|-rahs----|0] D:\IO.SYS 
[2009-07-13 13:02|--a------|643072] D:\iPodUpdaterExt.dll 
[2009-07-13 13:02|--a------|111912] D:\ITDetector.ocx 
[2009-07-13 13:02|--a------|14074656] D:\iTunes.exe 
[2009-07-13 13:03|--a------|384808] D:\iTunesAdmin.dll 
[2009-07-13 13:03|--a------|292128] D:\iTunesHelper.exe 
[2009-07-13 13:03|--a------|124200] D:\iTunesMiniPlayer.dll 
[2009-07-13 13:03|--a------|285184] D:\iTunesOutlookAddIn.dll 
[2009-07-13 13:03|--a------|264992] D:\iTunesPhotoProcessor.exe 
[2007-11-23 18:35|-rahs----|0] D:\MSDOS.SYS 
[2004-08-03 17:38|-rahs----|47564] D:\NTDETECT.COM 
[2004-08-03 17:59|-rahs----|251712] D:
tldr 
[2008-09-23 12:26|--ahs----|1610612736] D:\pagefile.sys 
[2009-10-26 20:35|---------|1028456] D:\WeatherEyeDownloader.exe 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_MARC-CATHERINE.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.097 ! |

zoee_catherine · Answer

Log.txt pour rsit:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Client at 2010-02-25 19:49:10
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 18 GB (45%) free of 39 GB
Total RAM: 1535 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:49:20, on 2010-02-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32
vsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\explorer.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\SearchProtocolHost.exe
C:\Documents and Settings\Client\Mes documents\Téléchargements\RSIT.exe
C:\Program Files	rend micro\Client.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Open with WordPerfect - d:\WordPerfect Office X4\WordPerfect Office X4\Programs\WPLauncher.hta
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe

zoee_catherine · Answer

et voici info.txt pour rsit:

(pour information, ma souris est une souris avec 'laser'' vieille d'environ 3-4 ans. Elle ne suis plus très bien depuis temps. D'un côté, je m'explique mal pourquoi l'ordi a redémarrer tout seul, puisqu'il faut faire au minimun 2 clics....)

info.txt logfile of random's system information tool 1.06 2010-02-25 19:49:22

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
1001 Bites (Diner Dash Hometown Hero - Gourmet)-->C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\UNWISE.EXE C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\INSTALL.LOG
Adobe Bridge 1.0-->MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000103}
Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Help Center 1.0-->MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}
Adobe Photoshop CS2-->msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}
Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adobe Stock Photos 1.0-->MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}
Ad-Remover By C_XX-->"C:\Ad-Remover\Un-ADR.exe"
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
AVS Disc Creator version 2.1-->"C:\Program Files\AVSMedia\DiscCreator\unins000.exe"
Big Fish Games: Game Manager-->C:\Program Files\bfgclient\Uninstall.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Correctif pour Windows XP (KB961118)-->"C:\windows\$NtUninstallKB961118$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB970653-v3)-->"C:\windows\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB976098-v2)-->"C:\windows\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
DeepBurner v1.9.0.228-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log" -u
Defraggler-->"C:\Program Files\Defraggler\uninst.exe"
DVD Decoder Pak for Windows XP-->MsiExec.exe /X{92C5DB3D-9D6F-4324-BB11-57825F4C2635}
Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
FaxTools-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F45298E5-0083-426F-A668-1A2C5F04B8A0}\setup.exe" -l0x40c ControlPanel
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Home Sweet Home 2  Kitchens and Baths-->"C:\windows\Home Sweet Home 2  Kitchens and Baths\uninstall.exe" "/U:C:\Program Files\Home Sweet Home 2  Kitchens and Baths\Uninstall\uninstall.xml"
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hoyle Friday Night Poker-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A17FD8C6-1AC2-46E7-AD0A-70C602C3504D}\setup.exe" -l0x9  -removeonly
Intel(R) Extreme Graphics 2 Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2572
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 10-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Lexmark 1200 Series-->C:\WINDOWS\system32\spool\drivers\w32x86\3\LXCZUN5C.EXE -dLexmark 1200 Series
LimeWire 5.2.13-->"D:\Limewire\uninstall.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Access MUI (English) 2007-->MsiExec.exe /X{90120000-0015-0409-0000-0000000FF1CE}
Microsoft Office Access Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0117-0409-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (English) 2007-->MsiExec.exe /X{90120000-0016-0409-0000-0000000FF1CE}
Microsoft Office Groove MUI (English) 2007-->MsiExec.exe /X{90120000-00BA-0409-0000-0000000FF1CE}
Microsoft Office Groove Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0114-0409-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (English) 2007-->MsiExec.exe /X{90120000-0044-0409-0000-0000000FF1CE}
Microsoft Office OneNote MUI (English) 2007-->MsiExec.exe /X{90120000-00A1-0409-0000-0000000FF1CE}
Microsoft Office Outlook MUI (English) 2007-->MsiExec.exe /X{90120000-001A-0409-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (English) 2007-->MsiExec.exe /X{90120000-0018-0409-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2003-->MsiExec.exe /X{90AF040C-6000-11D3-8CFE-0150048383C9}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (English) 2007-->MsiExec.exe /X{90120000-002C-0409-0000-0000000FF1CE}
Microsoft Office Publisher MUI (English) 2007-->MsiExec.exe /X{90120000-0019-0409-0000-0000000FF1CE}
Microsoft Office Shared MUI (English) 2007-->MsiExec.exe /X{90120000-006E-0409-0000-0000000FF1CE}
Microsoft Office Shared Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0115-0409-0000-0000000FF1CE}
Microsoft Office Word MUI (English) 2007-->MsiExec.exe /X{90120000-001B-0409-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\windows\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\windows\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB954155)-->"C:\windows\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\windows\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\windows\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\windows\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\windows\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB972260)-->"C:\windows\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB976325)-->"C:\windows\ie7updates\KB976325-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\windows\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\windows\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\windows\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\windows\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\windows\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\windows\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\windows\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\windows\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\windows\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\windows\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\windows\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\windows\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958869)-->"C:\windows\$NtUninstallKB958869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\windows\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\windows\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\windows\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\windows\$NtUninstallKB960859$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\windows\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\windows\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\windows\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\windows\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969059)-->"C:\windows\$NtUninstallKB969059$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\windows\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969947)-->"C:\windows\$NtUninstallKB969947$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\windows\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971486)-->"C:\windows\$NtUninstallKB971486$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\windows\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\windows\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\windows\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971961)-->"C:\windows\$NtUninstallKB971961$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\windows\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\windows\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\windows\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973525)-->"C:\windows\$NtUninstallKB973525$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\windows\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973904)-->"C:\windows\$NtUninstallKB973904$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974112)-->"C:\windows\$NtUninstallKB974112$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974318)-->"C:\windows\$NtUninstallKB974318$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974392)-->"C:\windows\$NtUninstallKB974392$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974571)-->"C:\windows\$NtUninstallKB974571$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975025)-->"C:\windows\$NtUninstallKB975025$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975467)-->"C:\windows\$NtUninstallKB975467$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\windows\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\windows\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\windows\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973687)-->"C:\windows\$NtUninstallKB973687$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\windows\$NtUninstallKB973815$\spuninst\spuninst.exe"
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
Mozilla Firefox (3.5.8)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 9-->C:\Program Files\Fichiers communs\Nero\Nero ProductInstaller 4\SetupX.exe  REMOVESERIALNUMBER="9M03-01A1-PCX7-K31A-8A94-98PT-KT2E-522A"
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\windows\system32
vuninst.exe UninstallGUI
PunkBuster Services-->C:\windows\system32\pbsvc.exe -u
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Real Crimes - The Unicorn Killer-->"C:\windows\Real Crimes - The Unicorn Killer\uninstall.exe" "/U:C:\Program Files\Real Crimes - The Unicorn Killer\Uninstall\uninstall.xml"
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|12.0
Registry Mechanic 8.0-->"D:\Registry Mechanic\unins000.exe" /Log
Search Settings v1.2.3-->MsiExec.exe /X{5F05C28D-DEA9-4AD6-A73A-064175988EAB}
Security Update for Windows Search 4 - KB963093-->"C:\windows\$NtUninstallKB963093$\spuninst\spuninst.exe"
Sid Meier's Civilization 4-->C:\Program Files\InstallShield Installation Information\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}\setup.exe -runfromtemp -l0x040c -removeonly
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
The Dash Slipper (Diner Dash Hometown Hero - Gourmet)-->C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\UNWISE.EXE C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\INSTALL.LOG
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6c-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Visual C++ 8.0 ATL (x86) WinSXS MSM-->MsiExec.exe /I{97F81AF1-0E47-DC99-FF1F-C8B3B9A1E18E}
Visual C++ 8.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}
VSO Image Resizer 2.2.0.1-->"D:\Image Resizer\unins000.exe"
Vuze-->C:\Program Files\Vuze\uninstall.exe
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: MARC-CATHERINE
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service de la passerelle de la couche Application.

Record Number: 1330
Source Name: Service Control Manager
Time Written: 20091013170406.000000-240
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: MARC-CATHERINE
Event Code: 7036
Message: Le service Gestionnaire de connexions d'accès distant est entré dans l'état : en cours d'exécution.

Record Number: 1329
Source Name: Service Control Manager
Time Written: 20091013170404.000000-240
Event Type: Informations
User: 

Computer Name: MARC-CATHERINE
Event Code: 7036
Message: Le service Carte de performance WMI est entré dans l'état : arrêté.

Record Number: 1328
Source Name: Service Control Manager
Time Written: 20091013170403.000000-240
Event Type: Informations
User: 

Computer Name: MARC-CATHERINE
Event Code: 7036
Message: Le service Carte de performance WMI est entré dans l'état : en cours d'exécution.

Record Number: 1327
Source Name: Service Control Manager
Time Written: 20091013170403.000000-240
Event Type: Informations
User: 

Computer Name: MARC-CATHERINE
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Carte de performance WMI.

Record Number: 1326
Source Name: Service Control Manager
Time Written: 20091013170403.000000-240
Event Type: Informations
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: MARC-CATHERINE
Event Code: 4113
Message: AntiVir a détecté dans le fichier
E:\Photoshop CS2 v9.0 + KeyGen\Photoshop.CS2.KeyGen.exe
un code suspect avec la désignation 'WORM/Autorun.cxl'!

Record Number: 538
Source Name: Avira AntiVir
Time Written: 20090413153834.000000-240
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: MARC-CATHERINE
Event Code: 4113
Message: AntiVir a détecté dans le fichier
E:\Photoshop CS2 v9.0 + KeyGen\Photoshop.CS2.KeyGen.exe
un code suspect avec la désignation 'WORM/Autorun.cxl'!

Record Number: 537
Source Name: Avira AntiVir
Time Written: 20090413153830.000000-240
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: MARC-CATHERINE
Event Code: 4113
Message: AntiVir a détecté dans le fichier
E:\Photoshop CS2 v9.0 + KeyGen\Photoshop.CS2.KeyGen.exe
un code suspect avec la désignation 'WORM/Autorun.cxl'!

Record Number: 536
Source Name: Avira AntiVir
Time Written: 20090413153827.000000-240
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: MARC-CATHERINE
Event Code: 4113
Message: AntiVir a détecté dans le fichier
E:\Photoshop CS2 v9.0 + KeyGen\Photoshop.CS2.KeyGen.exe
un code suspect avec la désignation 'WORM/Autorun.cxl'!

Record Number: 535
Source Name: Avira AntiVir
Time Written: 20090413153534.000000-240
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: MARC-CATHERINE
Event Code: 1002
Message: Application bloquée UNWISE.EXE, version 0.0.0.0, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Record Number: 534
Source Name: Application Hang
Time Written: 20090408144134.000000-240
Event Type: erreur
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Fichiers communs\Adobe\AGL
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

kalimusic · Answer

Bonjour Catherine

Il faut absolument supprimer la version cracké de Photoshop ainsi que les éléments attenants. C'est ce logiciel qui réinfecte ton PC.

Message: AntiVir a détecté dans le fichier
E:\Photoshop CS2 v9.0 + KeyGen\Photoshop.CS2.KeyGen.exe
un code suspect avec la désignation 'WORM/Autorun.cxl'! 

1. Télécharge  ATF  (par A-Tribune) sur le bureau et lance le en double cliquant sur son icône

    * Choisis ton navigateur (IE ou firefox ou opera ).
    * Coche Select All
    * Clique sur Empty Selected
      (Si tu souhaites conserver les mots de passe sauvegardés, clique No à l'invite)
    * Accepte de tout supprimer 

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant


2. Exécute le logiciel Malwarebytes
    * Effectue la mise à jour 
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression, copie/colle le rapport dans le prochain message. 

A +

zoee_catherine · Answer

Je viens de recevoir un message du forum disant que mon message à été restauré...?

gen-hackman · Answer

hello au passage .....des soucis avec Firefox ?

kalimusic · Answer

Salut gen-hackman, à qui s'adresse ton message ??

gen-hackman · Answer

salut à catherine car une clé concernant firefox n'est pas conforme

kalimusic · Answer

Ok vu tu parles de ceci :
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Disabled:Firefox"

gen-hackman · Answer

oui

kalimusic · Answer

Ok merci gen-hackman

Pour Catherine, j'ai quelques soucis pour poster sur CCM des messages de plus d'une ligne ou alors ils n'apparaissent pas, j'espère revenir dès que possible.

zoee_catherine · Answer

... mon ordi marche de lui même; nero a parti avec une chanson alors que j'étais dans la cuisine...???

kalimusic · Answer

Désolé mais depuis hier galère j'arrive plus à poster un message
bonne soirée

kalimusic · Answer

non, j'ai posé la question aux modos pour savoir, on reprends demain

kalimusic · Answer

C'est dingue si j'écris 1 seule phrase ça marche !!!!!!!!!!

kalimusic · Answer

Bonjour Catherine

Mon 1er message est revenu :
https://forums.commentcamarche.net/forum/affich-16596240-c-windows-ehaqadiru-dll-trojan?page=3#53

Quand tu auras fait ça, on s'occupera de rétablir Firefox et on fera un scan en ligne

A +

zoee_catherine · Answer

Oh non... c'est photoshop le problème?! J'ai vraiment besoin de ce programme!!

kalimusic · Answer

Salut c'est une version illégale et Avira détecte un vers d'autorun dedans

E:\Photoshop CS2 v9.0 + KeyGen\Photoshop.CS2.KeyGen.exe 

A quoi correspond le lecteur E ?

zoee_catherine · Answer

E: c'est mon lecteur cd

kalimusic · Answer

Bonsoir Catherine

Un CD se trouvait dans le lecteur E pendant le scan de rsit ?
Si tel est le cas ce CD ne doit plus être insérer dans le PC sous peine de le réinfecter.
Tu dois t'en débarrasser.
Quel soucis rencontres tu désormais sur la machine ?

Fait un scan en ligne ESET avec IE : https://www.eset.com/int/home/online-scanner/
aide en images = http://www.bibou0007.com/scans-en-ligne-f75/tutorial-eset-online-scanner-t3691.htm
Prends le temps de lire attentivement le déroulement afin de sauvegarder à temps le rapport.

Copie/colle le rapport dans ton prochain message.

A +

kalimusic · Answer

Ok, lu à tout à l'heure

Passe Ccleaner avant, si ça bloque toujours, on feras autrement.

gen-hackman · Answer

salut voir ce que j'ai mis plus haut ^^

gen-hackman · Answer

zoe_catherine bonsoir :

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur "all"

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

kalimusic · Answer

Bonsoir Catherine

gen-hackman reprend le sujet à ma demande, je continue de suivre en retrait.
Tu peux faire ce qu'il t'as demandé :
https://forums.commentcamarche.net/forum/affich-16596240-c-windows-ehaqadiru-dll-trojan?page=4#79

A +

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

gen-hackman · Answer

bonjour :

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option 6 = Restore MBR

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse 

ensuite : 

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse

zoee_catherine · Answer

Et voici le deuxième rapport; par contre, je suis pas certaine que c'est le bon. J'ai partit le scan, je suis allée faire mes affaires et quand je suis revenue, firefox était fermé et aucun fichier .txt ouvert. J'ai trouvé ceci qui semble correspondre à l'heure du scan.

Kill'em by g3n-h@ckm@n 1.2.8.3 
 
User : Client (Administrateurs) 
Update on 02/03/2010 by g3n-h@ckm@n ::::: 11.30 
Start at: 22:51:19 | 2010-03-03
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 38,28 Go (16,58 Go free) [Windows XP] | NTFS
D:\ -> Disque fixe local | 38,28 Go (8,09 Go free) | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\RUNDLL32.EXE
C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\windows\system32\ctfmon.exe
C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32
vsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\windows\System32\alg.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\windows\system32\cmd.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Client\Local Settings\Temp\F01D.tmp\ERUNT.EXE
C:\Documents and Settings\Client\Local Settings\Temp\F01D.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\Documents and Settings\Client\Application Data\.# 
Quarantined & Deleted !! : C:\Documents and Settings\Client\Application Data\pcouffin.inf 
Quarantined & Deleted !! : C:\Documents and Settings\Client\Application Data\inst.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Client\LOCAL Settings\Temptdrvmon.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Client\LOCAL Settings\Temp\Uninstall.exe 
 
==============
host file OK !
==============

========
Registry
========

Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

gen-hackman · Answer

hello refais un scan OTL stp c/f => post 79

gen-hackman · Answer

&#9654 clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}:6.0.10
@Alternate Data Stream - 98 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:812B8D5E
@Alternate Data Stream - 400 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:3D5EC7E8
@Alternate Data Stream - 378 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:24B3FF68
@Alternate Data Stream - 363 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A4D3AF07
@Alternate Data Stream - 330 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C5DFEA1
@Alternate Data Stream - 325 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:9AF3A05F
@Alternate Data Stream - 315 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:BAC6697B
@Alternate Data Stream - 313 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:1387592D
@Alternate Data Stream - 304 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:4EDC977B
@Alternate Data Stream - 292 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CA9366D8
@Alternate Data Stream - 292 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:141BCC26
@Alternate Data Stream - 290 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:202A6D97
@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A794DD9B
@Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:517B507A
@Alternate Data Stream - 122 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:E5AF5CFD
@Alternate Data Stream - 119 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:90876BA3
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DF0BC727
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"nwiz"=-
"QuickTime Task"=-
"TkBellExe"=-

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

zoee_catherine · Answer

Euhm... aucun rapport ne s'est ouvert après le scan..?

gen-hackman · Answer

regarde ici :

C:\_OTL\Moved Files\la_date_et_l_heure_de_la_supppression

gen-hackman · Answer

salut supprime tout ce qui se trouve dans ce dossier :

C:\Documents and Settings\All Users\Application Data\TEMP

zoee_catherine · Answer

Bonjour!

Ja n'ai rien eu a supprimé; le dossier était déjà vide..!

Merci ;)

Catherine

gen-hackman · Answer

ok veux-tu m'expliquer préciéement les soucis qui persistent ?

zoee_catherine · Answer

Bonjour!!

Pour ce qui est des alertes avira, il n'y en a plus. Par contre, le PC continue de planter, sans raison apparente et ce, seulement quand Firefox est ouvert. Mais pas tout le temps; parfois, il gèle, et on a beau appuyer sur tout les boutons, rien ne se passe pendant environ 1-2 minutes, et soudain un message apparait disant que ce programme ne répond plus (firefox). Parfois, la fenêtre prends 1 à 2 min aussi à se fermer complètement et meme encore, le PC reste lent à opérer. La seule façon de retrouver du jus c'est de le redémarrer.

Merci encore ;)!

Catherine

gen-hackman · Answer

Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------------------------- ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

zoee_catherine · Answer

Bonsoir Gen-hackman,

Je te poste le rapport pour le Toolscleaner.
Je vais suivre les indications à la lettre; soyons prudents, on ne sait jamais. Et de plus, je crois que je n'ai pas de pare-feu, donc c'est une bonne chose que tu m'ailles mis quelques liens.
Je te remercie beaucoup pour avoir pris le temps de résoudre mon problème, c'est très apprécié.
Et merci beaucoup à kalimusik pour sa grande patience et ses bons conseils!
:D

Catherine

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Client\Local Settings\Temp\EF16.tmp\catchme.exe: trouvé !
C:\Documents and Settings\Client\Local Settings\Temp\EF16.tmp\mbr.log: trouvé !
C:\Documents and Settings\Client\Local Settings\Temp\EF16.tmp\mbr.exe: trouvé !
C:\Documents and Settings\Client\Local Settings\Temp\F019.tmp\catchme.exe: trouvé !
C:\Documents and Settings\Client\Local Settings\Temp\F019.tmp\mbr.log: trouvé !
C:\Documents and Settings\Client\Local Settings\Temp\F019.tmp\mbr.exe: trouvé !
C:\Documents and Settings\Client\Mes documents\Téléchargements\UsbFix.exe: trouvé !
C:\Documents and Settings\Client\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\Documents and Settings\HelpAssistant\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Client\Local Settings\Temp\EF16.tmp\catchme.exe: supprimé !
C:\Documents and Settings\Client\Local Settings\Temp\F019.tmp\catchme.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Client\Local Settings\Temp\EF16.tmp\mbr.log: supprimé !
C:\Documents and Settings\Client\Local Settings\Temp\EF16.tmp\mbr.exe: supprimé !
C:\Documents and Settings\Client\Local Settings\Temp\F019.tmp\mbr.log: supprimé !
C:\Documents and Settings\Client\Local Settings\Temp\F019.tmp\mbr.exe: supprimé !
C:\Documents and Settings\Client\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\Documents and Settings\Client\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\Documents and Settings\HelpAssistant\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !

gen-hackman · Answer

c'est bon ;)

gen-hackman · Answer

hop !!! on a oublié de corriger la clé de firefox


relance OTL et colle ca dedans puis runFix :

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"

zoee_catherine · Answer

Bonjour Gen-hackman!!

Je suis un peu décalée... je m'excuse du temps de réponse!
Mais j'ai fais ce que  tu m'as demandé; je te poste tout de même le ''rapport'' que OTL m'a donné:

========== REGISTRY ==========
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\"C:\Program Files\Mozilla Firefox\firefox.exe"|"C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox" /E : value set successfully!
 
OTL by OldTimer - Version 3.1.37.3 log created on 03212010_201032


Merci encore pour ton aide et merci encore à kalimusik! :D

gen-hackman · Answer

bonsoir c'est bon tu dois avoir moins de soucis avec firefox maintenant

tu peux finir le reste si ce n'est fait