Trojan NvCplDeamon Résolu/Fermé

Question

Bonjour,   

Je viens de faire un nettoyage de mon pc portable grâce à Ccleaner, et dans la liste de démarrage, j'ai trouvé deux trucs suspects:  
NvCplDeamon et DivXUpdate  
Je suis allée faire un tour sur ce site https://www.bleepingcomputer.com/startups/ qui me dit que ce sont des trojans/malware.  
J'ai donc lancé un scan Avast mais il ne trouve rien.  
J'ai téléchargé Trojan Remover mais là non plus, aucun trojan de trouvé sur mon ordi.  
J'ai supprimé les deux applications de ma liste de démarrage mais j'avoue que je ne m'y connais pas assez pour vraiment faire quelque chose.  
Merci de votre aide.  


Voici mon rapport d'Hijackthis:  

Logfile of Trend Micro HijackThis v2.0.2  
Scan saved at 13:35:17, on 02/10/2010  
Platform: Windows Vista SP2 (WinNT 6.00.1906)  
MSIE: Internet Explorer v8.00 (8.00.6001.18943)  
Boot mode: Normal  

Running processes:  
C:\Windows\system32	askeng.exe  
C:\Windows\system32\Dwm.exe  
C:\Windows\Explorer.EXE  
C:\Program Files\Windows Defender\MSASCui.exe  
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe  
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe  
C:\Acer\Empowering Technology\eAudio\eAudio.exe  
C:\Windows\RtHDVCpl.exe  
C:\Program Files\Launch Manager\QtZgAcer.EXE  
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe  
C:\Windows\System32undll32.exe  
C:\Program Files\Alwil Software\Avast4\ashDisp.exe  
C:\Program Files\HP\HP Software Update\hpwuschd2.exe  
C:\Program Files\Common Files\Real\Update_OBealsched.exe  
C:\Program Files\DivX\DivX Update\DivXUpdate.exe  
C:\Program Files\Windows Sidebar\sidebar.exe  
C:\Program Files\Windows Sidebar\sidebar.exe  
C:\Users\Popo\AppData\Local\Temp\RtkBtMnt.exe  
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE  
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE  
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE  
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE  
C:\Program Files\Windows Live\Mail\wlmail.exe  
C:\Program Files\Windows Live\Contacts\wlcomm.exe  
C:\Program Files\Mozilla Firefox\firefox.exe  
C:\Program Files\Mozilla Firefox\plugin-container.exe  
C:\Program Files\CCleaner\CCleaner.exe  
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe  
C:\Windows\system32\SearchFilterHost.exe  
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe  

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.co.uk/?gws_rd=ssl  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =   
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =   
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =   
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)  
O1 - Hosts: ::1 localhost  
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll  
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll  
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IEpbrowserrecordplugin.dll  
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll  
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll  
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll  
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll  
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll  
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll  
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide  
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe  
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe  
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"  
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe  
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting  
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE  
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe  
O4 - HKLM\..\Run: [SetSpeaker] C:\Windows\SetSpkDefault.exe  
O4 - HKLM\..\Run: [Skytel] Skytel.exe  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit  
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe  
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot  
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun  
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')  
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')  
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')  
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe  
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200  
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll  
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll  
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL  
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll  
O13 - Gopher Prefix:   
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL  
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe  
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe  
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe  
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe  
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe  
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe  
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe  
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)  
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe  
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe  
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe  
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe  
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe  
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe  
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe  
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe  
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe  
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe  
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\Windowsunservice.exe  
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe  
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe  
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe  
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe  
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe  
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe  
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe  
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe  

End of file - 9634 bytes

benurrr · Answer

salut

télécharge

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

A la fin du scan clique sur Afficher les résultats

Vérifier si tout est coché et clic Supprimer la sélection

S'il t'es demandé de redémarrer >>> clique sur "Yes"

Et tu poste le rapport générer

Guizmokaya · Answer

Merci Benurrr.

Voici le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4733

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

02/10/2010 15:55:42
mbam-log-2010-10-02 (15-55-42).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 251840
Temps écoulé: 1 heure(s), 31 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Popo\Documents\Downloads\VLCSetup.exe (Adware.HotBar) -> Quarantined and deleted successfully.
C:\Users\Popo\Documents\Downloads\XvidSetup.exe (Adware.Hotbar.Gen) -> Quarantined and deleted successfully.

Guizmokaya · Answer

J'en ai profité pour lire mon rapport hijackthis (je l'avais pas lu avant vu que j'y comprends rien) et j'ai remarque qu'il y avait des trucs que j'avais supprimé qui   apparaissent quand même comme Boonty games ou Symantec par exemple 

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe 
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)  

J'ai passé la journée d'hier à nettoyer tout l'ordi vu qu'il était très très lent depuis quelques temps, mais apparemment je n'ai pas encore tout enlevé... 
Mais mon ordi est un peu plus rapide maintenant donc c'est déjà ça de gagné :)

benurrr · Answer

Télécharge Ad-Remover sur ton bureau:
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
https://www.androidworld.fr/

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Scanner".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.

Guizmokaya · Answer

Ok je fais ça de suite.
Merci pour ton aide!

Guizmokaya · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 20:01:01 le 02/10/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Popo@PC-DE-POPO (Acer, inc. Aspire 5920G) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\ProgramData\Trymedia

0,Clé trouvée: HKLM\Software\Trymedia Systems
0,Clé trouvée: HKCU\Software\PopCap


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Users\Popo\AppData\Roaming\Mozilla\FireFox\Profiles
pnrjy2y.default\Prefs.js --
browser.download.dir, C:\Users\Popo\Documents\Downloads
browser.download.lastDir, C:\Users\Popo\Desktop
browser.startup.homepage, hxxp://www.google.co.uk/
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.google.co.uk/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://fr.fr.acer.yahoo.com
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.fr.acer.yahoo.com

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 02/10/2010 (2110 Octet(s)) 

Fin à: 20:07:36, 02/10/2010 
 
============== E.O.F ==============

benurrr · Answer

Nettoyage:

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.

Guizmokaya · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:17:17 le 02/10/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Popo@PC-DE-POPO (Acer, inc. Aspire 5920G) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\ProgramData\Trymedia

(!) -- Fichiers temporaires supprimés.


0,Clé supprimée: HKLM\Software\Trymedia Systems
0,Clé supprimée: HKCU\Software\PopCap


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Users\Popo\AppData\Roaming\Mozilla\FireFox\Profiles
pnrjy2y.default\Prefs.js --
browser.download.dir, C:\Users\Popo\Documents\Downloads
browser.download.lastDir, C:\Users\Popo\Desktop
browser.startup.homepage, hxxp://www.google.co.uk/
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 12 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 02/10/2010 (2319 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 02/10/2010 (2239 Octet(s)) 

Fin à: 20:21:34, 02/10/2010 
 
============== E.O.F ==============

benurrr · Answer

Télécharge ici :RSIT outil de diagnostique

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit


Tutoriel pour t'aider

https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm


si le rapport ne passe pas sur le forum à cause de sa longeur envoie-le sur : cijoint

http://www.cijoint.fr/

fais parcourir ,

puis envoie le fichier.


renvoie le lien dans ta prochaine reponse .

Guizmokaya · Answer

Voici le fichier log:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijKaGPS2h.txt

Et le fichier info:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijVFUBE1m.txt

benurrr · Answer

DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!!(car il est détecte a tort comme infection)  

Télécharge ici :List_Kill'em de gen-hackman   

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe  

et enregistre le sur ton bureau 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation 

Laisse coché : 

? Executer List_Kill'em 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu 

choisis l'option Search 

 laisse travailler l'outil 

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree" 

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué. 

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

  NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

 Clique sur Ouvrir. 

 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

 Copie ce lien dans ta réponse. 

 Fais de même avec more.txt qui se trouve sur ton bureau  

Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

Guizmokaya · Answer

List'em:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijWxrlg8p.txt

More:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijfOpI8Gn.txt

benurrr · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN 

laisse travailler l'outil. 

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau

Guizmokaya · Answer

Voila le rapport :)

http://www.cijoint.fr/cjlink.php?file=cj201010/cijyCkgZ9V.txt

benurrr · Answer

> Télécharge Dr.Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autres). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

Guizmokaya · Answer

Salut Benurrr!

Je n'oublie pas le rapport mais je ne m'attendais pas à ce que le scan soit si long.
Il m'a fallu presque 2 heures pour faire le scan rapide et j'ai ensuite lancé le scan complet avant de me coucher.
Evidemment j'avais oublié de désactiver la veille prolongée donc quand je me suis levée le scan n'avait pas beaucoup progressé. Je l'ai laissé tourner pendant que j'étais au boulot mais quand je suis rentrée il avait presque pas avancé mais il avait trouvé un fichier à désinfecter. J'ai fait oui pour tout, j'ai attendu plus de trois heures et le scan n'en était pas encore à la moitié. J'ai du arrêté le scan parce que mon ordi ne répondait plus très bien et que j'en avais besoin pour le travail. J'ai dû l'arrêter de manière manuelle et au démarrage il m'a fallu bien 10 minutes avant qu'il m'affiche une page internet...

Bref je relance cette nuit, en esperant que cette fois il faudra moins de 20 heures pour arriver à la moitié du scan ;)

ps: il avait trouvé trois fichiers que j'ai mis en quarantaine. On verra ce qu'il trouve demain. J'espère que ça ne faussera pas le rapport...

Guizmokaya · Answer

Ah oui j'ai oublié aussi de te demander un truc. 
Au démarrage de Dr Web il me demande si je veux l'exécuter en mode protection renforcée ou en mode standard. Il vaut mieux que je choisisse quoi?
J'avais pris standard la première fois vu que la protection renforcée m'empêchait d'utiliser mon ordi mais bon si je dois le refaire autant être sûre cette fois.

Merci! :)

benurrr · Answer

mode standard.

Guizmokaya · Answer

Ok, mon ordi semble s'être remis de ses émotions, je relance donc le scan complet en mode standard.

A demain pour le rapport!

benurrr · Answer

ok

Guizmokaya · Answer

Bon ben cette fois j'ai vraiment pas de chance!
Après 9 heures et demie de scan, l'analyse se termine enfin, je cours sur mon ordi pour enregistrer le rapport et avant que j'ai eu le temps de le faire Paf, écran bleu "bad_pool_header" (0x00000019).

Du coup toujours pas de rapport (va encore falloir que je refasse ce scan!!) et un nouveau problème...

Décidemment mon ordi est plus atteint que ce que je croyais.
Qu'est-ce que tu en penses?

benurrr · Answer

salut 

surement un coup de chauffe pas la peine de refaire le scan il a deja suprimer tout supprimer au premier passage 

on va sortir la hache de guerre (terminator) lol 

Telecharge combofix : 
Faire un clic droit sur le lien 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

    * Choisir : "Enregistrer la cible du lien sous..." 
    * Choisir le Bureau comme destination. 
    * Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer. 
    * Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.  

 Note importante :tu est sous Vista 

la désactivation du Contrôle des comptes utilisateurs est obligatoire 

Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac 

pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )  

-> Double clique combofix.exe.  
-> Tape sur la touche 1 (Yes) pour démarrer le scan.  
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.  

NOTE : Le rapport se trouve également ici : C:\Combofix.txt  

Avant d'utiliser ComboFix :  

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.  

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  

Une fois fait, sur ton bureau double-clic sur Combofix.exe.  

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.  

-Attention  Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi  

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.  

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)  

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.  

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.  

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)  

::Si combofix detecte quelque chose et de demande a redémarrer tu accepte 

Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

Guizmokaya · Answer

ok super je m'occupe de Terminator demain! ;)
Bonne nuit!

Guizmokaya · Answer

J'ai voulu lancer Combofix mais il me dit que les scanners de Avast sont activés.
Pourtant j'ai fait "stop on-access protection", l'icône dans la barre des taches avait une crois rouge et une fenêtre me disait que mon ordinateur n'était plus protégé donc je pensais que c'était bon.
Est-ce qu'il y a une autre manip à faire pour désactiver Avast?
Merci! :)
ps: je serai certainement au boulot quand tu répondras donc je m'occuperai de ça en rentrant.

Guizmokaya · Answer

Ca y est j'ai enfin réussi à faire marcher combofix!! 

Voilà le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij4kyTAAC.txt

Bon en fait j'ai tout essayé pour Avast mais même quand il me disait qu'il était désactivé, Combofix le détectait donc j'en ai eu marre et je l'ai désinstallé! Au moins c'est radical, après ça Combofix n'a plus posé de problème! ;)

Alors, ça donne quoi?

benurrr · Answer

en va faire un scan en ligne mais avant il faut virer nox fix sinon en va avoir des FP

Télécharge DelFix sur ton bureau.

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

Lance le, tape 2 puis valide en appuyant sur [Entrée]

Patiente pendant le scan jusqu'à l'ouverture du rapport.

Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch

Guizmokaya · Answer

Rapport DelFix v5.4 - 06/10/2010 à 00:42,12
Mis à jour le 05/10/10 à 21h30 par Xplode
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
Navigateur : Internet Explorer  [Navigateur par défaut]
Processeur : Intel(R) Core(TM)2 Duo CPU     T5450  @ 1.66GHz
Mémoire vive totale : 1,99 Go
Nom d'utilisateur : Popo - PC-DE-POPO (Administrateur)
Exécuté depuis : C:\Users\Popo\Desktop\DelFix.exe


~~~~~~ Dossiers ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\RSIT
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\List_Kill'em
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\List_Kill'em

~~~~~~ Fichiers ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\List'em.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Popo\Desktop\List_Killem_Install.exe
Supprimé : C:\Users\Popo\Desktop\drweb-cureit.exe
Supprimé : C:\Users\Popo\Desktop\AD-R.lnk
Supprimé : C:\Users\Popo\Desktop\HijackThis.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1


########## EOF - "C:\DelFixSuppr.txt" - [1755 octets] ##########

benurrr · Answer

fait les scan içi

https://www.eset.com/

içi un tuto

https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32


et içi

https://www.trendmicro.com/en_us/forHome/products/housecall.html

içi un tuto

https://www.commentcamarche.net/faq/8873-scanner-en-ligne-avec-trendmicro-housecall

Guizmokaya · Answer

Alors Eset a trouvé et nettoyé 3 fichiers suspects:

C:\ProgramData\Spybot - Search & Destroy\Recovery\EverestPoker.zip	Win32/Bagle.gen.zip ver	nettoyé par suppression - mis en quarantaine

C:\ProgramData\Spybot - Search & Destroy\Recovery\EverestPoker2.zip	Win32/Bagle.gen.zip ver	nettoyé par suppression - mis en quarantaine

C:\Users\Popo\DoctorWeb\Quarantine\Proc_en0.exe	Win32/PrcView application	nettoyé par suppression - mis en quarantaine


Le scan d'housecall est en cours (il est assez long) donc je repasserai quand il sera enfin terminé.

A tout à l'heure!

Guizmokaya · Answer

Le scan d'Housecall est fini, il a trouvé un spyware/adware et a fixé le problème.

benurrr · Answer

NvCplDeamon et DivXUpdate plus la ?

Guizmokaya · Answer

Aucune trace de NvCplDeamon. 
Divxupdate apparait toujours dans ma liste de démarrage (non activé) sous Ccleaner 
Mais si je fais une recherche dans le systeme, je n'ai rien de ce nom qui apparait. 
Et si je vais dans les programmes de démarrage sous window je ne le trouve pas non plus.

benurrr · Answer

Télécharge DelFix sur ton bureau.

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

Lance le, tape 2 puis valide en appuyant sur [Entrée]

Patiente pendant le scan jusqu'à l'ouverture du rapport.

Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch

Guizmokaya · Answer

Encore?
Voilà le rapport:

Rapport DelFix v5.4 - 07/10/2010 à 10:39,39
Mis à jour le 05/10/10 à 21h30 par Xplode
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
Navigateur : Internet Explorer  [Navigateur par défaut]
Processeur : Intel(R) Core(TM)2 Duo CPU     T5450  @ 1.66GHz
Mémoire vive totale : 1,99 Go
Nom d'utilisateur : Popo - PC-DE-POPO (Administrateur)
Exécuté depuis : C:\Users\Popo\Desktop\DelFix.exe


~~~~~~ Dossiers ~~~~~~


~~~~~~ Fichiers ~~~~~~


~~~~~~ Registre ~~~~~~



########## EOF - "C:\DelFixSuppr.txt" - [646 octets] ##########

benurrr · Answer

oui au cas ou des residue mais la c'est cool 

Ok apres sa en a terminer si ta pas d'autre soucie  

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures." 

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage". 
 Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée" 
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).  

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".  

içi mode d'emploi pour ccleaner 

https://www.malekal.com/tutoriel-ccleaner/ 
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

Guizmokaya · Answer

Ok je vais m'en occuper. 
Désolé t'auras encore certainement ma réponse cette nuit, j'ai des horaires bizarres...
A++

benurrr · Answer

pas de soucie bon courage

Guizmokaya · Answer

Bon ben ça y est c'est tout propre!! :)  

Merci beaucoup Benurrr pour le temps que tu m'as consacré, c'était vraiment très sympa de ta part.  

Une semaine de nettoyage, et je peux te dire que je vois la différence, mon ordi est beaucoup plus rapide maintenant!  

J'attends ta réponse pour être sûre que tout est fini et je mettrai le sujet en "résolu" avec grand plaisir :)  

Bonne continuation!

benurrr · Answer

bonjour

oui c'est ok bon surf

un peu de lecture

sécurité-protéger-un-ordinateur-contre-les-malwares-d-internet

https://www.commentcamarche.net/faq/2432-securite-proteger-un-ordinateur-contre-les-malwares

se-prémunir-des-virus

https://www.commentcamarche.net/faq/1630-se-premunir-des-virus-et-autres-saletes-pas-si-complique

Guizmokaya · Answer

Cool!
Merci encore!

Trojan NvCplDeamon

40 réponses

Discussions similaires