[popup] winantivirus

ashley -  
Séb08 Messages postés 18169 Statut Contributeur -
Bonjour,
JE vous explique mon souci depuis quelques semaines je suis infectée par des tas de popup qui viennent s'installer quand je navigue. j'ai bien la toolbar de google mais rien n'y fait, elle ne les bloque pas. C'est fenêtres sont celle de winantivirus Pro, ou Drive cleaner, ou casino ou tout autre dans le même genre.

J'ai bien lu plusieurs forum qui parlait du sujet et essayer de suivre les directives qui sont écrites mais rien n'y fait et là je suis à bout.

Je vous laisse le rapport HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 20:03:36, on 25/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80B047B2-13FF-48EF-AA02-82C4A5D35AE2}: NameServer = 86.64.145.145 84.103.237.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

S'il vous plaît sortez moi de ce pétrin.
Merci
A voir également:

14 réponses

Réponse 1 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
slt,

Télécharge Blacklight (de F-Secure):
https://www.f-secure.com/en


et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport STP.


a+
0
ashley
 
slt

J'ai eu quelques soucis pour F-secure car je n'ai pas eu le message "[X]scan through Windows Explorer activé " donc du coup j'ai laissé faire tout seul j'espère que j'ai bien fait
je te laisse le rapport

10/26/06 20:09:50 [Info]: BlackLight Engine 1.0.47 initialized
10/26/06 20:09:50 [Info]: OS: 5.1 build 2600 (Service Pack 1)
10/26/06 20:09:50 [Note]: 7019 4
10/26/06 20:09:50 [Note]: 7005 0
10/26/06 20:09:54 [Note]: 7006 0
10/26/06 20:09:54 [Note]: 7011 2040
10/26/06 20:09:54 [Note]: 7026 0
10/26/06 20:09:54 [Note]: 7026 0
10/26/06 20:09:54 [Note]: 7024 3
10/26/06 20:09:54 [Info]: Hidden process: C:\windows\system32\ojwqnefm.exe
10/26/06 20:09:54 [Note]: FSRAW library version 1.7.1020
10/26/06 20:10:07 [Note]: 4013 27927
10/26/06 20:10:07 [Note]: 4020 45841 3211264
10/26/06 20:10:07 [Note]: 4018 45841 3211264
10/26/06 20:10:07 [Note]: 4013 27927
10/26/06 20:10:07 [Note]: 4020 45841 3211264
10/26/06 20:10:07 [Note]: 4018 45841 3211264
10/26/06 20:13:15 [Info]: Hidden file: c:\WINDOWS\Prefetch\OJWQNEFM.EXE-27D54AB5.pf
10/26/06 20:13:15 [Note]: 10002 1
10/26/06 20:13:45 [Info]: Hidden file: c:\WINDOWS\system32\ojwqnefm.dat
10/26/06 20:13:45 [Note]: 10002 1
10/26/06 20:13:46 [Info]: Hidden file: C:\windows\system32\ojwqnefm.exe
10/26/06 20:13:46 [Note]: 10002 1
10/26/06 20:13:46 [Info]: Hidden file: c:\WINDOWS\system32\ojwqnefm_nav.dat
10/26/06 20:13:46 [Note]: 10002 1
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\ojwqnefm_navps.dat
10/26/06 20:13:47 [Note]: 10002 1
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\perfproc.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\regsvr32.exe
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\sysdm.cpl
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\p2pgasvc.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\winsta.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\vdmredir.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\wiaservc.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\serwvdrv.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\termsrv.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\srvsvc.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\profmap.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\wpnpinst.exe
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:47 [Info]: Hidden file: c:\WINDOWS\system32\w95inf32.dll
10/26/06 20:13:47 [Note]: 10002 2
10/26/06 20:13:54 [Info]: Hidden file: c:\WINDOWS\$MSI31Uninstall_KB893803$\reg00041
10/26/06 20:13:54 [Note]: 10002 2
10/26/06 20:13:56 [Note]: 4013 16433
10/26/06 20:13:56 [Note]: 4020 21163 3473408
10/26/06 20:13:56 [Note]: 4020 21163 3473408
10/26/06 20:13:56 [Note]: 4018 21163 3473408
10/26/06 20:13:56 [Note]: 4013 16433
10/26/06 20:13:56 [Note]: 4020 21163 3473408
10/26/06 20:13:56 [Note]: 4018 21163 3473408
10/26/06 20:15:36 [Note]: 7007 0

Voila j'espère que c'est bon et que je ne me suis pas trop mal débrouiller.
Merci de ta réponse et de ton aide surtout

ashley
0
Réponse 2 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
C'est tout bon t'inquiètes c'est pas fini ... :)

Avant de commencer :

Affiches tous les fichiers et dossiers :
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage
Cocher « afficher les dossiers et fichiers cachés »

Décoches la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoches « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et « appliquer »

====================================


Lis bien et applique cette manip.

Imprime la ou enregistre la dans le bloc note pour être sur de ne rien oublier.

=====================================

Télécharge Brute Force Uninstaller (de Merijn) ici:
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement à la racine de ton disque dur ou l'endroit qui te convient, nomme ce dossier BFU.
Décompresse le fichier téléchargé dans ce nouveau dossier (par exemple C:\BFU)

Ensuite, télécharge EGDACCESS.bfu (de Metallica) :

Fais un clik droit ici : http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer ; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Si tu utilises Internet Explorer, assure-toi lors de la sauvegarde que le champs "Type :" affiche "Tous les fichiers".
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Lance "Brute Force Uninstaller" en double-cliquant BFU.exe (Dans le dossier C:\BFU)
- Clique sur le petit dossier jaune, et clique sur : EGDACCESS.bfu
- Coches la case Show log after script ends
- Clique sur Execute pour que le fix fasse son boulot :-)

Attends que le message Complete script execution apparaîsse et clique sur OK.
Un rapport va s'afficher dans la fenetre du programme, copie et colle dans le bloc-notes, puis sauvegardes le, tu le posteras plus tard sur le forum.
Clique Exit pour fermer le programme BFU.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
Clique sur Scan pour lancer l'analyse.
Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
Puis valide.
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Après le reboot du pc, les fichiers :


c:\WINDOWS\system32\ojwqnefm.dat
C:\windows\system32\ojwqnefm.exe
c:\WINDOWS\Prefetch\OJWQNEFM.EXE-27D54AB5.pf
c:\WINDOWS\system32\ojwqnefm_nav.dat
c:\WINDOWS\system32\ojwqnefm_navps.dat
c:\WINDOWS\system32\perfproc.dll
c:\WINDOWS\system32\regsvr32.exe
c:\WINDOWS\system32\sysdm.cpl
c:\WINDOWS\system32\p2pgasvc.dll
c:\WINDOWS\system32\winsta.dll
c:\WINDOWS\system32\vdmredir.dll
c:\WINDOWS\system32\wiaservc.dll
c:\WINDOWS\system32\serwvdrv.dll
c:\WINDOWS\system32\termsrv.dll
c:\WINDOWS\system32\srvsvc.dll
c:\WINDOWS\system32\profmap.dll
c:\WINDOWS\system32\wpnpinst.exe
c:\WINDOWS\system32\w95inf32.dll
c:\WINDOWS\$MSI31Uninstall_KB893803$\reg00041

devraient être visible et pouvoir être supprimés sans aucuns soucis.
Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:

Va dans C:\windows\system32\ et recherches et effaces:

ojwqnefm.dat.ren
ojwqnefm.exe.ren
ojwqnefm_nav.dat.ren
ojwqnefm_navps.dat.ren
perfproc.dll.ren
regsvr32.exe.ren
sysdm.cpl.ren
p2pgasvc.dll.ren
winsta.dll.ren
vdmredir.dll.ren
wiaservc.dll.ren
serwvdrv.dll.ren
termsrv.dll.ren
srvsvc.dll.ren
profmap.dll.ren
wpnpinst.exe.ren
w95inf32.dll.ren

ainsi que dans c:\WINDOWS\Prefetch\ :

OJWQNEFM.EXE-27D54AB5.pf.ren

Et dans c:\WINDOWS\$MSI31Uninstall_KB893803$\ :

reg00041.ren

Une fois fait, reposte le rapport de BFU que tu auras sauvegardé et un nouveau rapport de blacklight.

A+
0
ashley
 
bon alors j'ai fait comme tu m'as dit.
Seulement quand j'ai rebooté je n'ai pas trouver la totalité des fichiers que j'avais renommé! Seulement quelques uns que j'ai supprimé.
Donc je suppose que tu vas me dire de tout recommencer?! lol!

Sinon je te poste les 2 rapports :

FU v1.00.9
Windows XP SP1 (WinNT 5.01.2600 SP1)
Script started at 21:14:31, on 26/10/2006

Option Delete files to Recycle Bin: Yes
Failed: DllUnregister C:\WINDOWS\System32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: FolderDelete C:\Program Files\InternetGameBox (folder not found)
Failed: FolderDelete C:\Program Files\GoRecord2 (folder not found)
Failed: FolderDelete C:\Program Files\GoAstro (folder not found)
Failed: FolderDelete C:\Program Files\SudoPlanet (folder not found)
Failed: FolderDelete C:\Program Files\WebMediaPlayer (folder not found)
Failed: FolderDelete C:\Program Files\MessengerSkinner (folder not found)
Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINDOWS\navmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)
Failed: FolderDelete C:\WINDOWS\navmpc (folder not found)
Failed: FolderDelete C:\WINDOWS\msskinner (folder not found)
Failed: FolderDelete C:\WINDOWS\wintrim (folder not found)
Failed: FolderDelete C:\WINDOWS\wincomp (folder not found)
Failed: FolderDelete C:\WINDOWS\winmgts (folder not found)
Failed: FolderDelete C:\WINDOWS\simcss (folder not found)
Failed: FolderDelete C:\WINDOWS\mc (folder not found)
Failed: FileDelete C:\DOCUME~1\Ash\LOCALS~1\Temp\Perflib_Perfdata_16c.dat (operation failed)
Failed: FileDelete C:\DOCUME~1\Ash\LOCALS~1\Temp\ymsgr2 (operation failed)
Failed: FileDelete C:\DOCUME~1\Ash\LOCALS~1\Temp\~DFA48B.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\Ash\LOCALS~1\Temp\~DFACD8.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\Ash\LOCALS~1\Temp\~DFC919.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\Ash\LOCALS~1\Temp\~DFDB3B.tmp (operation failed)
Failed: FileDelete C:\WINDOWS\Temp\Perflib_Perfdata_5a4.dat (operation failed)
Failed: FolderDelete C:\WINDOWS\Temp\_avast4_ (operation failed)
Script completed.

ET

10/26/06 21:38:57 [Info]: BlackLight Engine 1.0.47 initialized
10/26/06 21:38:57 [Info]: OS: 5.1 build 2600 (Service Pack 1)
10/26/06 21:38:58 [Note]: 7019 4
10/26/06 21:38:58 [Note]: 7005 0
10/26/06 21:39:02 [Note]: 7006 0
10/26/06 21:39:02 [Note]: 7011 1440
10/26/06 21:39:02 [Note]: 7026 0
10/26/06 21:39:02 [Note]: 7026 0
10/26/06 21:39:16 [Note]: FSRAW library version 1.7.1020
10/26/06 21:51:23 [Note]: 2000 1012
10/26/06 21:51:40 [Note]: 7007 0


Sinon tu peux m'expliquer ce que je viens de faire que je ne sois pas trop bêbête!! Et puis par quoi je suis infectée?

Merci
0
Réponse 3 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
Ben non c'est clean ! ;-)

Tu viens de te désinfecter de ce qu'on appelle un rookit c'est un log qui te placarde de pubs et de message iintempestifs.

Ou en sont tes probs ?

a+
0
ashley
 
Cool si tu dis que c'est bon. Laisse moi juste le temps de tester la réalité du truc et te dirais demain si le pb est résolu.

Par contre comment faire pour empêcher ce genre de situation? As tu un tuyau qui me permettrait de prendre les devant au lieu de venir embêter tout le monde?

Merci
Te tiens informer demain
tchoa
0
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
Télécharge et installe ce log et fais les manip indiquées :

ccleaner (gratuit)
Tutorial là :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
Téléchargement :
ccleaner

Fais ceci avec ccleaner :

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

Suppression des incohérence du registre

• Clique sur l'icône Erreurs situés dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.


=======================================

pour ta protection je vois que tu as des restes de Securitoo (firewall) et que tu as Avast! d'installé donc désinstalle tout ce qui concerne Securitoo car 2 antivirus d'installé sur une bécane = conflits

Et installe un "vrai" parefeu (Kério) car celui de Windows ne sert à rien et apparemment tu avais celui de securitoo d'installé mais il n'est plus actif.

Kério (pare feu):
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/22418.html
lire le tuto: pour configurer et comprendre Kerio
https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall
https://www.vulgarisation-informatique.com/kerio.php
https://forums.cnetfrance.fr

Remet un log Hijack et dis moi ou e sont tes probs;

Bonne soirée.

A+
0
ashley > Séb08 Messages postés 18169 Statut Contributeur
 
Bonjour,
J'ai effectué Ccleaner sans pb.
ce que tu me dis sur securitoo m'étonne car je l'ai viré en même temps que ma connexion. Il doit surement rester des dossiers quelque par mais je ne sais pas ou.

Mais pb de pub se sont résolus à priori. Par contre il y a un pb dont je ne t"avais pas parlé car je croyais que c'était lié mais non en fait.
Quand j'ouvre internet, il y a dès fois, pas tout le temps, où internet ouvre plusieurs fenêtres sans arrêter, je suis obligée de fermer le groupe dans la barre de tâche et après il me met la page de fermeture windows. Trop bizarre, comme si quelqu'un avait la main à ma place et faisait n'importe quoi! Connais tu ce pb?


Logfile of HijackThis v1.99.1
Scan saved at 19:27:20, on 27/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80B047B2-13FF-48EF-AA02-82C4A5D35AE2}: NameServer = 86.64.145.142 84.103.237.142
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe


Je reviens sur le pare feu que tu m'as filé il existe en gratuit car là je vois que c'est un shareware.

a +
0
Réponse 4 / 14
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Slt,

Pour avancer Séb

Je reviens sur le pare feu que tu m'as filé il existe en gratuit car là je vois que c'est un shareware.

Il est gratuit
Tu peux avoir des renseignements complémentaires ici

https://kerio.probb.fr/


A++

Ne prenez pas la mouche, restez muet comme une carpe, et 
caressez le chien dans le sens du poil !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
pas de prob ashley Kério est gratos pendant la période d'essai tu as toutes les fonctions qui tournent mais après tu ne perds que le filtrage Web qui ne fonctionne que sur la version payante.(voila la différence).

Ou en sont tes probs ?

Pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) :
http://www.bitdefender.fr/bd/site/search.php#
Clique sur « scan on line » suis les instructions.
Et colle le rapport

a+
0
ashley
 
Salut Séb,

Mais petit pb de pub ont disparu ça c'est cool!
Par contre comme je te disais dans mon message précédent, de temps en temps quand j'ouvre internet au lieu d'avoir une page qui s'affiche plusieurs défilent et sans s'arrêter. pour le faire arrêter je dois fermer le groupe dans la barre de tâche. ensuite j'ai la fenêtre pour fermer le pc qui s'allume sans que je n'ai rien demandé non plus.
Est ce que tu sais d'où cela sort?

Autre question sur Kerio: comment dois je le configurer pour e-mule car il empêche (pare feu) les téléch. C'est pareil comment on fait quand on vuet afficher entièrement les pages web et que kerio n'affiche pas la totalité et met "Ad blocked here by KPF"?

je te poste bitdefender :

BitDefender Online Scanner



Rapport d'analyse généré à: Mon, Oct 30, 2006 - 21:06:32





Voie d'analyse: C:\;D:\;E:\;F:\;P:\;







Statistiques

Temps
01:28:06

Fichiers
564469

Directoires
5133

Secteurs de boot
6

Archives
9162

Paquets programmes
113033




Résultats

Virus identifiés
2

Fichiers infectés
5

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
5




Info sur les moteurs

Définition virus
479388

Version des moteurs
AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Analyse des plugins
13

Archive des plugins
38

Unpack des plugins
6

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134178.exe
Infecté par: Trojan.Proxy.HF

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134178.exe
Echec de la désinfection

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134178.exe
Supprimé

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134183.exe
Infecté par: Trojan.Proxy.HF

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134183.exe
Echec de la désinfection

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134183.exe
Supprimé

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134185.exe
Infecté par: Trojan.Proxy.HF

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134185.exe
Echec de la désinfection

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134185.exe
Supprimé

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134187.exe
Infecté par: Trojan.Proxy.HF

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134187.exe
Echec de la désinfection

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP486\A0134187.exe
Supprimé

C:\WINDOWS\Downloaded Program Files\UERSV_0001_N91S2108NetInstaller.exe
Infecté par: Trojan.Downloader.Winfixer.O

C:\WINDOWS\Downloaded Program Files\UERSV_0001_N91S2108NetInstaller.exe
Echec de la désinfection

C:\WINDOWS\Downloaded Program Files\UERSV_0001_N91S2108NetInstaller.exe
Supprimé



Merci
0
Réponse 6 / 14
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Slt


C:\System Volume Information\_restore



L'infection se situe dans le système de restauration XP (System Volume Information\_restore)

¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.

Puis,

¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.




A bientôt

0
Réponse 7 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
Pour Kério tu as essayé de regarder les tutos mis a ta dispo au <7> ?
0
ashley
 
Bonjour,

Oui j'ai regardé les tutos mais j'ai pas trouvé mon bonheur par rapport à ce que je cherchais!
Et j'ai un peu regardé sur le net d'autres infos, mais il ne parle à chaque fois que de la version 2 et pas de la 4.

a+
0
Réponse 8 / 14
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Slt,

Pour Kerio je t'ai mis un lien au poste <9>

Es-tu allée voir ?
T'es-tu renseigné sur ce forum ?
Ce n'est pas un tuto, c'est un forum....donc tu devrais avoir réponses à tes soucis...
https://kerio.probb.fr/

A++
0
ashley
 
Bonjour,

Désolée Marie je 'avais pas fait attention à ton lien!
C'est tout good.
Merci de votre aide vous avez été formidable!
MErci
0
Réponse 9 / 14
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Pas de problèmes..
Mais refais un Hitjackthis
stp
merci
Histoire d'alléger ton log

A++
0
ashley
 
Salut,

voilà...

Logfile of HijackThis v1.99.1
Scan saved at 21:59:03, on 01/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\eMule45b2\emule.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ojwqnefm] c:\windows\system32\ojwqnefm.exe ojwqnefm
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80B047B2-13FF-48EF-AA02-82C4A5D35AE2}: NameServer = 84.103.237.140 86.64.145.140
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

a +
0
Réponse 10 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
Relance Hijack , choisi « do a scan only » ou « scanner seulement » coches ces lignes :

O4 - HKLM\..\Run: [ojwqnefm] c:\windows\system32\ojwqnefm.exe ojwqnefm

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)


Ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus, puis clique « Fix checked » ou « fixer objet ». Ferme HijackThis!

===============================

recherche et supprimes ce fichiers en gras (si présent) :

c:\windows\system32\ojwqnefm.exe

C:\Program Files\Securitoo

vide ta poubelle.

===============================

Arrête ce service si toujours actif (puisque tu as installé Kério)


F-Secure Windows Security Center Legacy Detection Service

pour ça fais cette manip :

Démarrer -> executer tape services.msc clic droit sur le service cité - > propriétés et dans "type de démarrage" et mets le sur « arrêté « et « désactivé ».


Met windows a jour ...

0
ashley
 
Salut Seb,

J'ai fait comme tu m'as dis.
Par contre je n'ai pas de dossier C:\Program Files\Securitoo!!!
j'ai fixé la ligne 04 mais je n'ai pas pu suprimer le fichier car je ne l'ai pas trouvé!!

Je te reposte un Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 19:41:00, on 02/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80B047B2-13FF-48EF-AA02-82C4A5D35AE2}: NameServer = 86.64.145.146 84.103.237.146
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Au fait pas de mise à jour windows tout est ok

a +
0
Réponse 11 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
Ok ça m'a l'air clean !

ou en sont tes probs ?

a+
0
ashley
 
salut Seb

Mes problèmes sont résolus.

Juste une petite question et c'est tout. J'ai dans mes favoris un dossier "links" qui c'est créé sans que je demande rien du tout.
Sais tu comment le virer définitivement?

Merci
0
Réponse 12 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
On va voir ça ... ;-)


Télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.
Si tu vois des lignes avec PRESENT! Continue la manip qui suit.

Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec)

- Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisit l’option 2 et tu réponds oui à tout.

Copie/colle le rapport sur le forum stp.

a+
0
ashley
 
salut seb,

SmitFraudFix v2.119

Rapport fait à 9:26:19,95, 04/11/2006
Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


ca n'a rien fait le dossier link est tjs la!

a+
0
Réponse 13 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
link = lien en anglais ...

C'est bien dans ce chemin ?

C:\Documentandsettigs\nom utilisateur\favoris <-- dans ce dossier

Il doit être vide normalement et saint...

a+
0
ashley
 
salut seb,

oui c'est ca. mais il n'y a rien a faire il revient toujours.est ce normal?

a+
0
Réponse 14 / 14
Séb08 Messages postés 18169 Statut Contributeur 1 430
 
il est saint ce dossier ...

et il doit être présent il y a toujours été je pense.
Pas de prob .

a+
0

Discussions similaires

PC bloqué sur American megatrend
Sabrina -
Sabrina -

2 réponses
mon ordi est bloquer sur american megatrends
kpointe -
doudous -

23 réponses
pc bloque
nico -
NICO -

33 réponses
envahissement par pop up avast
Cubrik -
bazfile -

15 réponses
pd au demarrage, help!!
ny182 -
Anonyme -

6 réponses