fenêtres intempestives+pc qui rame

Question

Bonjour
J'ai quelque soucis avec internet.

Dès que je clique sur un lien, une pub s'ouvre dans une autre fenêtre.
Dès que j'ouvre 2 fenêtres ou 2 onglets, mon pc ralenti.
J'ai Malwresbytes qui détecte un trojan mais ne peut pas le supprimer..
J'ai également CCleaner que j'utilise régulièrement pour nettoyage mais ça n'a pas l'air de suffir..
Enfin, je ne peut plus défragmenter mon dd.

Pouvez vous m'aider?
Merci

truecode · Answer

Bonjour,

Commence par poster ce rapport pour avoir une analyse approfondi de ton pc : 

* Télécharge ZHPDiag(de Nicolas Coolman) https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 


Poste aussi le dernier rapport de malware bytes , lance malware bytes va dans l'onglet rapport / log tu trouvera le rapport ici

batmamskim · Answer

Voici le lien pour le rapport zhpdiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijWTohtWZ.txt

Et voici le rapport de malwarebytes : http://www.cijoint.fr/cjlink.php?file=cj201003/cij6bvEbZY.txt

batmamskim · Answer

merci
à tout à l'heure

truecode · Answer

J'ai vu des traces de search settings on va regarder ca :


*Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau. 

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\ 

*Double-clique sur le fichier téléchargé AD-R.exe 
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur) 
*Au menu principal, choisis l'option Scanner. 
*Poste le rapport généré (C:\Ad-Report-Scan-(date).log). 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

batmamskim · Answer

Voici le résultat du scan : 

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 23/03/10 à 14:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 14:10:48 le 23/03/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 3 - X86
Nom du PC: MAISON-7DBB4D2C | Utilisateur actuel: Maxime (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\TypeLib\{04006843-5199-4CE4-B3CD-8092CC91706E}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKCU\Software\Microsoft\Internet 

Explorer\Toolbar\WebBrowser|{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
HKCU\Software\Microsoft\Internet 

Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.18 (fr) *
.
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.download.lastDir: 

F:\MAXIME\SEPHIROTH\autres
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.search.defaultenginename: 

Live Search
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.search.defaulturl: 

hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.search.selectedEngine: 

Google
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.startup.homepage: 

hxxp://google.fr
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - 

browser.startup.homepage_override.mstone: rv:1.9.0.18
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - keyword.URL: 

hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
.
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\windows\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\windows\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\Maxime\LOCALS~1\Temp: 47 Fichier(s), 4 Dossier(s)
C:\WINDOWS	emp: 92 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 15 Fichier(s), 6 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 3167 Octet(s)
.
Fin à: 14:14:32, 23/03/2010
.
============== E.O.F - SCAN[1] ==============

truecode · Answer

Il reste bien des traces ;

Relance AD-R.exe 
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur) 
*Au menu principal, choisis l'option Nettoyer. 
*Poste le nouveau rapport

La pub c'est toujours la même ? si oui laquelle

batmamskim · Answer

Non, les pubs varient : site de poker, de voyages, de rencontres..

Voici le rapport de nettoyage :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 23/03/10 à 14:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 14:50:57 le 23/03/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 3 - X86
Nom du PC: MAISON-7DBB4D2C | Utilisateur actuel: Maxime (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\TypeLib\{04006843-5199-4CE4-B3CD-8092CC91706E}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.18 (fr) *
.
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.download.lastDir: F:\MAXIME\SEPHIROTH\autres
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.search.defaultenginename: Live Search
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.search.defaulturl: hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.startup.homepage: hxxp://google.fr
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.18
C:\Documents and Settings\Maxime\..\j60nibie.default\prefs.js - keyword.URL: hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
.
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\Maxime\LOCALS~1\Temp: 2 Fichier(s), 4 Dossier(s)
C:\WINDOWS	emp: 5 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 6 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 3281 Octet(s)
C:\Ad-Report-SCAN[1].txt - 3291 Octet(s)
.
Fin à: 14:55:01, 23/03/2010
.
============== E.O.F - CLEAN[1] ==============

truecode · Answer

On va vérifier quelque chose : 

*Télécharge Navilog1 http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe (de IL-MAFIOSO) et enregistre-le sur le Bureau. 
*Double-clique sur Navilog1.exe afin de lancer l'installation.
*Si le fix ne se lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le Bureau. ( sous vista clic droit -> executer en tant qu'administrateur
*Appuie sur F ou f puis valide par Entrée. 
*Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options. 
*Choisis l' option 1 et appuie sur la touche Entrée pour valider ton choix. 
*Patiente jusqu'au message : *** Analyse terminée le ..... *** 
*Le scan fini, le Bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse. 
*Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt 

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.

batmamskim · Answer

et voilà : 

Fix Navipromo version 4.0.8 commencé le 23/03/2010 15:22:55,35

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) Processor LE-1640 )
BIOS : Default System BIOS
USER : Maxime ( Administrator )
BOOT : Normal boot

Antivirus : avast! Antivirus 5.0.83886542 (Activated)
Firewall  : PC Tools Firewall Plus 4.0.0 (Not Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:41 Go (Free:15 Go)
D:\ (CD or DVD)
E:\ (Local Disk) - NTFS - Total:14 Go (Free:10 Go)
F:\ (Local Disk) - NTFS - Total:242 Go (Free:42 Go)
G:\ (CD or DVD)
I:\ (CD or DVD)
Y:\ (USB)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 23/03/2010 15:23:11,09 ***

truecode · Answer

On va déjà faire du ménage dans les fichiers temporaires 


Puis tu peux faire un nettoyage des fichiers temporaires avec ATF CLEANER :

*Téléchargez ATF-Cleaner depuis http://www.atribune.org/ccount/click.php?id=1
*Double clique sur ce programme pour en lancer l'exécution.
*Sélectionnez la boîte appelée "Select All" et cliquez sur le bouton "Empty Selected"
*Une fois terminé, fermez le programme.

batmamskim · Answer

c'est fait..

truecode · Answer

Lance une nouvelle analyse avec ZHPDIAG et poste le rapport que je vois ce qui reste , je vais analyser cela plus en détails par contre n'étant pas chez moi je ne pourrais le faire que ce soir .

batmamskim · Answer

OK ça marche pas de soucis.
Déjà merci de t'occuper de moi.
 
Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201003/cij1T8LWGx.txt

A ce soir.

batmamskim · Answer

Ya quelqu'un?
Je ne serai pas dispo avant jeudi soir 18h.
Si il y a moyen d'avoir des instructions quand même pour continuer à netoyer mon pc.
Merci.
a jeudi j'espère.

truecode · Answer

Bonjour,

Désoler je suis passer à travers ton message 
On va essayer de voir si Lop xp détecte une infection : 

*Télécharger Lopxp : (by Moe) :  http://sosvirus.changelog.fr/Green_day/Lopxpsetup
*Double-cliquer sur Lopxpsetup.exe pour lancer l'installation 
*Au menu, choisir l'option 1 
*Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer ! 
*Le contenu du rapport est situé dans : C:\Programfiles\Lopxp\cid.txt

batmamskim · Answer

Salut
j'ai télécharger ce que tu m'as demandé mais mon pc ne reconnait pas le type de fichier et je n'ai donc pas accès à Lopxpsetup.exe..
Comment ça marche?!
Au secours.

batmamskim · Answer

AH si c'est bon 
voici le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201003/cijYKxmX64.txt

batmamskim · Answer

Je ne comprend pas ta question.
As tu bien eu le rapport que j'ai quand même réussi à avoir?
Si tu veux une réponse, c'est non.

truecode · Answer

Firefox + ces modules permet de bloquer les pubs il est possible que ce soit les sites sur lequel tu navigue qui t'ouvre la page de pub , ca te le fait sur google aussi ?

batmamskim · Answer

Oui ça me le fait avec google..Parfois même, quand je clique sur un lien après une recherche google, ça me renvoie à une page qui n'a rien à voir avec le lien cliqué..
et du coup, je ne crois pas avoir utilisé ces modules..
Faut-il que je les récupère? Sont -ils vraiment efficace?

truecode · Answer

Pour une utilisation quotidienne oui très utile mais la le problème viens d'ailleur je pense ; on va vérifier la piste du fichier host et d'une infection wareout 

*Télécharge MyHosts.exe https://www.sfr.fr/fermeture-des-pages-perso.html (de jeanmimigab) sur ton bureau.
*Fais un double clic sur l'icône du programme pour le lancer.
*Poste le contenu du rapport qui s'ouvre.
*Si aucun rapport ne s'ouvre, tu peux le retrouver à l'emplacement suivant : C:MyHosts.txt

Ensuite : 

*Clique sur ce lien http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe 
pour télécharger le fichier d'installation d'HijackThis.

*Enregistre HJTInstall.exe sur ton bureau.  
*Double-clique sur HJTInstall.exe pour lancer le programme
*Par défaut, il s'installera là : 
C:\Program Files\Trend Micro\HijackThis

*Accepte la license en cliquant sur le bouton "I Accept"
*Choisis l'option "Do a system scan and save a log file"
*Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
*Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
*Colle le rapport que tu viens de copier sur ce forum
*Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://perso.orange.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

batmamskim · Answer

- Rapport MyHosts : 


** Rapport MyHosts.txt **

MyHosts V.1.0.0.2 de jeanmimigab

Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides
 
Résultat de l'opération:restauration du fichier hosts réussi...

 ** Fin du rapport **


- Rapport HijackThis : 


Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10:54:30, on 26/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\FarStone\DriveClone\CBP\DCSchdler.exe
C:\Program Files\FarStone\DriveClone\EFB\efbfs.exe
C:\Program Files\FarStone\DriveClone\EFB\EfbSchedule.exe
C:\Program Files\FarStone\DriveClone\fsloader.exe
C:\Program Files\FarStone\DriveClone\VerChk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\EA Games\EA GAMES\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = 

https://subscribe.free.fr/login/login.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program 

Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers 

communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program 

Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program 

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program 

Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 

9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate 

Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers 

communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers 

communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma 

Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers 

communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital 

Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - 

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - 

C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network 

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - 

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program 

Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - 

C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - 

{8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems 

Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil 

Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil 

Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil 

Software\Avast5\AvastSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown 

owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DriveClone Scheduler - Unknown owner - C:\Program 

Files\FarStone\DriveClone\CBP\DCSchdlerSRVC.exe
O23 - Service: Restore FarStone File Event Manager (efbfs) - FarStone Technology, Inc. - 

C:\Program Files\FarStone\DriveClone\EFB\efbfs.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - 

C:\WINDOWS\system32\services.exe
O23 - Service: FarStone RestoreIT Loader - Unknown owner - C:\Program 

Files\FarStone\DriveClone\fsloader.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - 

C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program 

Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program 

Files\ma-config.com\maconfservice.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers 

communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - 

C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers 

communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers 

communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - Unknown owner - C:\Program Files\PC 

Tools Firewall Plus\FWService.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - F:\EA Games\EA 

GAMES\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown 

owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - 

C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - 

C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe

truecode · Answer

Je viens de voir un truc relance Malware bytes ensuite a la fin de l'analyse : 
*Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
*Le Bloc-notes va s'ouvrir avec le rapport d'analyse
*Fais un copier coller de ce rapport etposte-le dans ton prochain message.

batmamskim · Answer

et voici (désolé pour la petite pause):

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2675
Windows 5.1.2600 Service Pack 3

26/03/2010 14:36:11
mbam-log-2010-03-26 (14-36-11).txt

Type de recherche: Examen rapide
Eléments examinés: 97188
Temps écoulé: 2 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\MSIVXcount (Trojan.Agent) -> Delete on reboot.

batmamskim · Answer

J'ai ce Tojan.agent depuis un moment et impossible de le supprimer même après redémarrage du pc..

truecode · Answer

On va passer a quelque chose de plus radicale : 

 * /!\Avertissement : 
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. 
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

? Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau : 
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix : 
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur » 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\INSTALLES LA CONSOLE DE RECUPERATION 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

batmamskim · Answer

Bon merci pour ton aide mais après avoir installé combofix mon pc à planter...
J'ai donc fait appel à un ami qui m'a nettoyé tout ça...
Merci pour tout le reste..
A+

Fenêtres intempestives+pc qui rame

27 réponses

Votre réponse

Newsletters