Sujet Précédent Sujet Suivant

VIRUS impossible de passer un antivirus

Résolu/Fermé
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007 - 1 nov. 2006 à 12:37
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007 - 15 nov. 2006 à 15:21
bonjours
J'ai un gros souci de virus et je suis sur le point de reformater,sauf si quelqu'1 veut bien m'aider .
Il se passe que j'ai quelques programmes qui sont désactivés comme real player ou corrompus comme picassa ,mon navigateur avant browser qui ne veut plus s'ouvrir (j'utilise en ce moment internet exploreur) ainsi que le gestionnaire des taches qui est désactivié. Ensuite je ne peut passer aucun antivirus , ni anti spyware ,ni cc cleaner car ils bloquent tous au même endroit sur un un dossier de "mes documment" que je ne peut pas supprimer non plus . Seul avast effectue le scan mais sanr rien detecter sauf
un virus "MS06-001 WMF Exploit" . qui figure dans le journal comme simple avertissement mais je ne le voit pas dans la quarantaine. Et quand je refaid un scan il ne dit rien.
Comment faire pour savoir de quel virus c'est .et quoi faire?
peut être avec hijackmais je ne sait pas m'en servir
merci de me donner une idée .Est ce que je dois reformater?
et j'oubliais je n'ai pas encore utilier la restauration du système j'ai peur d'agraver les choses,et en attendant je sauvegarde mes fichiers.

162 réponses

Précédent
Réponse 61 / 162
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007
8 nov. 2006 à 13:21
uen question idiote :
qaud on me dit de fermer toutes les fenêtres pour passer Fixwareaout ,ne vaut t'il ps mieux faire cela hors connexion ? (fenêtres femés?)
0
Réponse 62 / 162
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007
8 nov. 2006 à 14:05
re bonjour
hors connexion et fenêtre femé donc ,j'ai passé wareout dont voila le rapport
mais quand j'ai voulu fixé la ligne q'on m'a indiqué sur hijachthis
c'est dire "O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe "
celle ci n'existe plus .
Ma question est de savoir si je peux fixer la ligne qui change a chaque redemarrage sans vous poser la question avant ,car j'ai bien vu ou c'etais .la maintenant c'est " dmper.exe.
ensuite je supprime es fichiers via l'explorateur.



Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D7C6FEEFB918-BD4B-C184-C530-F2588DE9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\ucrmd
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
C:\WINDOWS\SYSTEM32\FTP.EXE

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMRCU.EXE 61 022 2003-09-20

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.




Logfile of HijackThis v1.99.1
Scan saved at 13:52:32, on 08/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [dmper.exe] C:\WINDOWS\System32\dmper.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI\naviagent.exe" uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
0
Réponse 63 / 162
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 nov. 2006 à 14:26
Re,

j'en étais arrivé à la même conclusion que toi : qu'il faudrait opeut être que tu trouves toute seule la ligne et le fichier à fixer/détruire en mode sans échec.

Donc

fixewareout

passage en sans échec

hijackthis pour trouver la ligne et la fixer

destruction du fichier

retour en mode normal

hijacjthis de contrôle;

Si plus de ligne 04 du type dm@@@.exe, tu continues, sinon, tu reviens avec l'info. J'ai déjà une idée de ce que je te proposerai dans ce cas.

@+

0
Réponse 64 / 162
Qc001 Messages postés 256 Date d'inscription samedi 11 février 2006 Statut Membre Dernière intervention 9 juillet 2009 17
8 nov. 2006 à 15:27
Bonjour les zami(e)s :-)

Effectivement, la "prochaine étape" consistait à impliquer kesaco dans l'identification des fichiers mutants, et le "fix" de ceux-ci (ligne dans HijackThis! + suppression du fichier en Sans Échec, en passant FixWareout à chaque fois ;-))

Je n'ai jamais vu cette bestiole résister aussi farouchement... mais on l'aura :-)

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 162
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 nov. 2006 à 15:38
Bonjour Qc001,

Beau temps au Québec ou sur la côte Est des USA ce matin ?

Mon idée en cas d'échec était de passer tout de suite en sans échec, de lancer Fixwareout, puis HijackThis puis la suppression.

Mais je ne sais pas comment Ficwareout réagit en mode sans échec.
@+
PS Je n'ai pas encore "vu" Afideg Aujourd'hui, c'est pour cela que j'interviens pour faire avancer.
0
Réponse 66 / 162
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007
8 nov. 2006 à 15:43
re apres 1 heure a fermé ouvrir l'ordi( au moins je saurais faire ça!!)

les rapport dans l'ordre


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5D9AC44A8D81-3B38-6A94-0FF2-8B1C10DB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\aetmd
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
C:\WINDOWS\SYSTEM32\FTP.EXE

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMTEA.EXE 61 022 2003-09-20

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.



Logfile of HijackThis v1.99.1
Scan saved at 15:28:11, on 08/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O15 - Trusted Zone: *.isengrin@msn.com
O15 - Trusted Zone: http://msnfr.match.com
O15 - Trusted Zone: *.tiberaude@msn.com
O15 - Trusted Zone: *.vraimystere@msn.com
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4764/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI\naviagent.exe" uimode=agentupdate (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\System32\srksrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)



Propri‚taire - 06-11-08 15:32:32,29 Service Pack 1
ComboFix 06.10.19 - Running from: "C:\Documents and Settings\Propri‚taire\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-10-08 to 2006-11-08 ))))))))))))))))))))))))))))))))))


2006-11-01 19:39 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-11-01 19:39 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-01 19:39 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-11-01 19:39 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-10-26 01:57 53,248 --a------ C:\WINDOWS\system32\ZLib.dll
2006-10-26 01:57 385,024 --a------ C:\WINDOWS\system32\FlamedLib.dll
2006-10-26 01:57 15,360 --a------ C:\WINDOWS\system32\INETFR.dll
2006-10-26 01:57 1,386,496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2006-10-24 15:48 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-10-24 15:48 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-10-24 15:48 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-10-24 05:03 188,416 --a------ C:\WINDOWS\system32\macdll.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-08 15:27 -------- d-------- C:\Program Files\Hijackthis Version Fran‡aise
2006-11-08 14:56 -------- d-------- C:\Program Files\WinBar
2006-11-08 14:40 -------- d-------- C:\Documents and Settings\Propri‚taire\Application Data\Skype
2006-11-08 14:40 -------- d-------- C:\Documents and Settings\Propri‚taire\Application Data\Avant Browser
2006-11-08 14:27 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-08 14:26 -------- d-------- C:\Program Files\Java
2006-11-08 14:08 -------- d-------- C:\Program Files\Mozilla Thunderbird
2006-11-07 19:32 -------- d-------- C:\Program Files\AxBx
2006-11-07 19:30 -------- d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2006-11-04 15:32 -------- d-------- C:\Documents and Settings\Propri‚taire\Application Data\Prevx
2006-11-04 12:48 -------- d-------- C:\Program Files\Overnet
2006-11-01 20:56 -------- d-------- C:\Program Files\Fichiers communs\ODBC
2006-11-01 20:56 -------- d-------- C:\Program Files\Fichiers communs
2006-11-01 16:56 -------- d-------- C:\Program Files\CleanUp!
2006-11-01 08:14 -------- d-------- C:\Program Files\a-squared Free
2006-10-31 18:12 86094 --a------ C:\WINDOWS\BPMNT.dll
2006-10-31 18:12 71749 --a------ C:\WINDOWS\hcextoutput.dll
2006-10-31 18:12 176709 --a------ C:\WINDOWS\tsc.exe
2006-10-31 18:12 1101904 --a------ C:\WINDOWS\vsapi32.dll
2006-10-31 15:42 -------- d-------- C:\Program Files\Google
2006-10-29 18:10 -------- d-------- C:\Program Files\eMule
2006-10-27 02:23 -------- d-------- C:\Program Files\Audacity
2006-10-26 13:47 -------- d-------- C:\Program Files\MP3List
2006-10-26 02:30 -------- d-------- C:\Program Files\Fichiers communs\Designer
2006-10-26 01:55 -------- d-------- C:\Program Files\DJ
2006-10-26 00:51 -------- d-------- C:\Program Files\mp3-explorer
2006-10-25 23:31 -------- d-------- C:\Program Files\WBFileManager
2006-10-25 23:15 -------- d-------- C:\Program Files\The GodFather
2006-10-24 16:02 -------- d-------- C:\Program Files\Winamp
2006-10-24 15:13 -------- d-------- C:\Program Files\DivX
2006-10-24 15:12 -------- d-------- C:\Program Files\Windows Media Player
2006-10-24 15:12 -------- d-------- C:\Program Files\Presario PC Help
2006-10-24 15:12 -------- d-------- C:\Program Files\Power IE
2006-10-24 15:12 -------- d-------- C:\Program Files\Picasa2
2006-10-24 15:12 -------- d-------- C:\Program Files\OutClock
2006-10-24 15:12 -------- d-------- C:\Program Files\Internet Explorer
2006-10-24 15:11 -------- d-------- C:\Program Files\Common Files
2006-10-24 15:11 -------- d-------- C:\Program Files\Avant Browser
2006-10-24 15:11 -------- d-------- C:\Program Files\Adobe
2006-10-24 05:03 -------- d-------- C:\Program Files\KC Softwares
2006-10-24 00:09 -------- d-------- C:\Program Files\GlobalList Audio
2006-10-21 22:33 -------- d-------- C:\Program Files\Fichiers communs\AOL
2006-10-20 02:47 -------- d-------- C:\Documents and Settings\Propri‚taire\Application Data\MSN6
2006-10-12 21:14 -------- d---s---- C:\Documents and Settings\Propri‚taire\Application Data\Microsoft
2006-10-12 19:08 -------- d-------- C:\Program Files\MSN Messenger
2006-10-12 19:08 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-10-08 23:58 -------- d-------- C:\Program Files\DigiCat
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:40 87424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 16:40 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 16:39 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 16:39 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-25 16:37 24560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-20 21:07 -------- d-------- C:\Documents and Settings\Propri‚taire\Application Data\Google
2006-09-18 21:46 -------- d-------- C:\Program Files\Fichiers communs\Scanner
2006-09-16 23:31 -------- d-------- C:\Documents and Settings\Propri‚taire\Application Data\AOL
2006-09-15 05:10 -------- d-------- C:\Program Files\SpywareBlaster
2006-08-25 04:47 115880 --------- C:\WINDOWS\system32\pxinsi64.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"NVIEW"="rundll32.exe nview.dll,nViewLoadHook"
"Cld2000.exe"="C:\\Program Files\\Calendrier\\Cld2000.exe"
"ccleaner"="\"C:\\Program Files\\CCleaner\\ccleaner.exe\" /AUTO"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"
"Acme.PCHButton"="C:\\PROGRA~1\\PRESAR~1\\Presario\\XPHWWRP4\\plugin\\bin\\PCHButton.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"MPFExe"="C:\\PROGRA~1\\McAfee.com\\PERSON~1\\MpfTray.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"KBD"="C:\\HP\\KBD\\KBD.EXE"
"hpsysdrv"="c:\\windows\\system\\hpsysdrv.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"Synchronization Manager"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,\
73,74,65,6d,33,32,5c,6d,6f,62,73,79,6e,63,2e,65,78,65,20,2f,6c,6f,67,6f,6e,\
00
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,00,00,f4,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"RoboForm"="\"C:\\Program Files\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"RoboForm"="\"C:\\Program Files\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLogoff"=dword:00000000
"NoClose"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 9.0 Icône AOL.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\AOL 9.0 Icône AOL.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 9.0 Icône AOL.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL9~1.0\\aoltray.exe -check"
"item"="AOL 9.0 Icône AOL"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL Compagnon.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\AOL Compagnon.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL Compagnon.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOLCOM~1\\COMPAN~1.EXE /s"
"item"="AOL Compagnon"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^MyWebSearch Email Plugin.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\MyWebSearch Email Plugin.lnk"
"backup"="C:\\WINDOWS\\pss\\MyWebSearch Email Plugin.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Program Files\\MyWebSearch\\bar\\1.bin\\MWSOEMON.EXE "
"item"="MyWebSearch Email Plugin"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^Aide mémoire.lnk]
"path"="C:\\Documents and Settings\\Propriétaire\\Menu Démarrer\\Programmes\\Démarrage\\Aide mémoire.lnk"
"backup"="C:\\WINDOWS\\pss\\Aide mémoire.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\AIDEMM~1\\TrayIcon.exe "
"item"="Aide mémoire"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^WKCALREM.LNK]
"path"="C:\\Documents and Settings\\Propriétaire\\Menu Démarrer\\Programmes\\Démarrage\\WKCALREM.LNK"
"backup"="C:\\WINDOWS\\pss\\WKCALREM.LNKStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\FICHIE~1\\MICROS~1\\WORKSS~1\\WkCalRem.exe "
"item"="WKCALREM"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acme.PCHButton]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCHButton"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\PRESAR~1\\Presario\\XPHWWRP4\\plugin\\bin\\PCHButton.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcxMonitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ALCXMNTR"
"hkey"="HKLM"
"command"="ALCXMNTR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Amigo]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="amigo"
"hkey"="HKLM"
"command"="c:\\progra~1\\amigo2~1\\amigo.exe timer"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BEWHA.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BEWHA"
"hkey"="HKLM"
"command"="C:\\Program Files\\BossEveryware\\BEWHA.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CamMonitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpqcmon"
"hkey"="HKLM"
"command"="c:\\Program Files\\HP\\Digital Imaging\\Unload\\hpqcmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Internet Eraser]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="InternetEraser"
"hkey"="HKCU"
"command"="C:\\Program Files\\PrivacyEraser Computing\\Free Internet Eraser\\InternetEraser.exe /Startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GoogleDesktop"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLHostManager"
"hkey"="HKLM"
"command"="C:\\Program Files\\Fichiers communs\\AOL\\1132532196\\ee\\AOLHostManager.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hkcmd"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\hkcmd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon05]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hphmon05"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\hphmon05.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nosign_JL2005]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nosign TRUST"
"hkey"="HKLM"
"command"="nosign TRUST"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /installquiet /keeploaded /nodetect"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Overnet]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="eDonkey2000"
"hkey"="HKLM"
"command"="C:\\Program Files\\Overnet\\eDonkey2000.exe -t"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PicasaMediaDetector"
"hkey"="HKLM"
"command"="C:\\Program Files\\Picasa2\\PicasaMediaDetector.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PS2]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ps2"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\ps2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RECGUARD"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\SMINST\\RECGUARD.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoboForm]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RoboTaskBarIcon"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="swdoctor"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Spyware Doctor\\swdoctor.exe\" /Q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sgtray"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Fichiers communs\\Sonic\\Update Manager\\sgtray.exe\" /r"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WildTangent CDA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cdaEngine0500"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\WildTangent\\Apps\\CDA\\GameDrvr.exe\" /startup \"C:\\Program Files\\WildTangent\\Apps\\CDA\\cdaEngine0500.dll\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Program Files\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UPS"=dword:00000003
"kavsvc"=dword:00000002
"Fax"=dword:00000003

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Maintenance en 1 clic.job

Completion time: 06-11-08 15:34:24.50
C:\ComboFix.txt ... 06-11-08 15:34
0
Réponse 67 / 162
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007
8 nov. 2006 à 15:47
moi je ne vois plus de dm machin chose. peut etre pas bien regardé aussiJ'ai fait une synthése de tout ce qu'on m'a dit avant sur un bloc note que voila.
mais j'ai suivi le conseil de afi qui me disait qu'il fallais desactiver la restauration du système.



2- Ce qu'il faut tenter à présent:

Repasser FixWareout, mais faire bien attention de fermer toutes les fenêtres actives sauf l'outil, y compris les fenêtres de navigateur (Avant, Internet Explorer, etc..) - du Poste de Travail - et de l'explorateur Windows.
Je te demande,de fermer toutes les fenêtres actives lorsque tu passeras FixWareout : ceci est extrêmement important...

3- Ensuite, tu démarres en mode Sans Échec :

4- Lance HijackThis! et clique "Do a system scan only" puis coche cette ligne:
O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe
Clique "Fix checked", puis ferme HijackThis!

5- Lance l'Explorateur Windows (clic droit sur "Démarrer" >> "Explorer").
Recherche ( via la collonne de gauche) puis supprime ces fichiers (si trouvés) :

C:\WINDOWS\System32\dmtes.exe
C:\WINDOWS\System32\dmfcq.exe
C:\WINDOWS\SYSTEM32\dmtub.exe
C:\WINDOWS\System32\dmdvy.exe

6- Ferme l'Explorateur.
Redémarre en mode Normal.

7- Passe ComboFix tel que suggéré.
< 83 > par boulepate62 (07/11/2006 à 21:29 GMT+1)
un petit rapport combo pour voir le ventre de la bête .
Telecharge ça:
< http://download.bleepingcomputer.com/sUBs/combofix.exe >
Appuyes sur "Y" pour continuer .
Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici stp

8- Poste les rapports suivants :

- FixWareout
- Nouveau HijackThis!
- ComboFix

On va y arriver ! Courage... ce Wareout peut être une vraie peste...
Le secret de la réussite : tuer Wareout avec l'outil FixWareout,
et ensuite tu pourras supprimer les fichiers que je t'ai indiqués ( à partir )du mode Sans Échec.
Il faut également se souvenir que les fichiers responsables peuvent muter à chaque démarrage lorsque l'infection est active, alors à nous de bien surveiller les prochains logs


Je regarde ton plus récent log, et je constate que Wareout mute toujours, donc petit changement à apporter au post #89. Dans HijackThis!, tu devras plutôt fixer cette ligne :

O4 - HKLM\..\Run: [dmdvy.exe] C:\WINDOWS\System32\dmdvy.exe

..et supprimer le fichier suivant, en plus des autres :

C:\WINDOWS\System32\dmdvy.exe
-------------------------


au point 5 du post 97, dans les fichiers à détruire si tu les trouves, tu ajoutes :

C:\WINDOWS\System32\dmjxn.exe
PS Et, lorsque tu fixes avec hijackThis, tu fixes la ligne 04 avec ce fichier, celle qui est indiquée avec dmdvy.exe n'existera plus.

j'en étais arrivé à la même conclusion que toi : qu'il faudrait opeut être que tu trouves toute seule la ligne et le fichier à fixer/détruire en mode sans échec.

Donc

fixewareout

passage en sans échec

hijackthis pour trouver la ligne et la fixer

destruction du fichier

retour en mode normal

hijacjthis de contrôle;

Si plus de ligne 04 du type dm@@@.exe, tu continues, sinon, tu reviens avec l'info. J'ai déjà une idée de ce que je te proposerai dans ce cas.
0
Réponse 68 / 162
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007
8 nov. 2006 à 16:00
ah oui j'oubliais quand j'ai chercher les fichier dm dan sl'explorateur pour les supprimr j'ai rien trouvé.
merci
0
Réponse 69 / 162
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 nov. 2006 à 16:05
Re,

Bravo, bravo et encore bravo.

Je ne le vois plus non plus.

On croise les doigts.

On fait un peu de ménage, ça peut pas nuire :

Ccleaner (je n'ai pas vérifié mais je suppose que on te l'a demandé), nettoyage et chercher puis réparer les erreurs du système;

Vide ta corbeille.

Je regarde pour la suite.

Afideg avait des idées. Mais il faut que je regarde.

@+


0
Réponse 70 / 162
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007
8 nov. 2006 à 16:19
c'est a vous tous que je dis bravo bravo ( enfin afi,qc001, et vous )et merci. j'ai fait que ce que vous m'aviez demandé en enfonçant bien le clou pour que l'information arrive a mon cerveau!!!! (hier sans le vouloir j'ai rendu dingue afideg et moi même pour une histoire de lien que je ne pensais pas a ouvrir et que je croyais être la phrase a déplacer sur le bureau..... alors que c'étais l'exemple c'etais un blocage de ma part)

mais j'ai vu je sait plus ou je crois sur aun rapport de total virus #65 qu'il y avait des trojan et pleins d'autre trucs.

je dois partir jusqu'a ce soir
@toute
0
Réponse 71 / 162
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 nov. 2006 à 16:46
Re,

Non non, je crois qu'on maintiendra tous "bravo à toi" : c'est toi qui es toute seule devant ton ordi et qui te dépatouille avec.

Pour la suite, on repart au post 66 avec cwshredder pour éradiquer navi machin chose.

Tu relances cwshredder et tu postes le log en réponse.

Tu y ajoutes un log HijackThis.

Pour les trojans du post 65, c'était le fichier que Fixwareout vient de tuer . Ca, c'est réglé (on espère, sinon, on sait faire).

On en profite pour passer un petit coup e bitdefender on line (voir post 12 si tu as oublié), un petit coup de ewidoo (devenu AVG antispyware, tu fais une mise à jour ), vérifier que le parefeu est actif, l'antivirus à jour.

Tu postes les rapports des 2 (bit defender et ewido-avg ) dans ta réponse.

@+
0
Réponse 72 / 162
Qc001 Messages postés 256 Date d'inscription samedi 11 février 2006 Statut Membre Dernière intervention 9 juillet 2009 17
8 nov. 2006 à 17:16
Y a pas juste les doigts que je croise... (!!).

Je ne me prononce pas tout de suite, mais c'est plutôt encourageant :-)

Petite question pour Lyonnais : j'ai peine à tout relire, alors pourrais-tu me pointer vers ce "navi machin chose" que tu mentionnes ? je suis curieux..

Merci ;-)
0
Réponse 73 / 162
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 nov. 2006 à 18:13
Bonjour à vous tous,

1°- Merci Lyonnais d'avoir accepté de faire tampon en mon absence.

2°- Pour Qc001

Cela se passe au premier HJT # 11

-R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
-O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
-O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
-O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
-O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
-O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

Voici ce que j'en disais :
Difficile de se décider lol
Regarde, ce sont des clés analogues :
{CE000996-A58C-4441-8938-744CD72AB27F}
{CE000994-A58C-4441-8938-744CD72AB27F}
{CE000992-A58C-4441-8938-744CD72AB27F}

Et voici tout ce que je trouve:

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ==>
Se reporter à cette adresse pour les R3:< http://www.siena.edu/antivirus/spyware/cws.asp > ==> CoolWebsearch Browser Hijacker
( Je devrai peut-être réclamer d'exécuter CWSShredder ??? )

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ==> Verisign i-Nav / i-nav_4_*_*.dll (* = digit) / L BHO

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) => Related to VeriSign Note: File is located under C:\Program Files\VeriSign\i-Nav

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) => Related to VeriSign Note: File is located under C:\Program Files\VeriSign\i-Nav

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ==> pas reconnue par castleCops + No name

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ==> pas reconnue par castleCops

Il y a pas mal de divergence , lol


3°- Kesako a dû , entretemps, mettre à jour Java ( 14H26 ? --> j'attends confirmation de l'heure )
Je reste sceptique au vu du rapport ComboFix :
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

à suivre.

4°- Je lui ai fait supprimer le fichier " wdfmgr.exe " ( qui à ce moment ne se voyait pas en 023.
( MS_Update Check X wdfmgr.exe Added by the W32/AGOBOT-TB WORM! ) une saleté des mises à jour Windows.
Question à Qc001 : Je ne suis pas chaud de garder FrameWork sur lePC. C'est un avis partagé aussi sur Zebulon. Qu'en penses-tu ?

Ça , " wdfmgr.exe " + mise à jour Java ( si elle était confirmée ) + désactivation de la restauration système, aurait-il pu influencer ?
En tout cas, c'était une ligne de conduite que je m'étais imposée.

À propos de mise à jour, il faudra que Kesako installe le SP2 ( à voir ) y compris réexaminer sa protection pare-feu + anti-virus.

Merci.
Je viens de rentrer; je n'ai pas tout lu .

5°- Je n'oublie pas mon "vieu bison boiteu"; il m'a beaucoup aidé et appris. Merci
0
Réponse 74 / 162
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 nov. 2006 à 18:14
Re,

Pour QC001 et Afideg

Il apparait à 3 endroits dans le log HijackThis, 2 fois dans la liste des runnings process, 1 fois en R3 (lignes en gras dans le début du log HijackThis du post 105).

Logfile of HijackThis v1.99.1
Scan saved at 15:28:11, on 08/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\srksrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
______________________________________________________
La première mention d'éradication est faite au point 5 du post 30 (les 4 premièrs sont liés de près ou de loin à Fixwareout)

5°- Pour cette R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
The free version is available for download here:
< https://store.trendmicro.com/store?Action=DisplayProductDetailsPage&Locale=en_US&OfferID=849373009&SiteID=tmamer&pgm=13852200&productID=104924800&srcID=TMASYtoTAV_UnknownEOL_19_95 >
Tu as ceci: « Trend Micro™ CWShredder™ Version 2.19 is the latest defense against the new Cool Web Search variants, and ….[ click here to learn more ]  tu cliques sur l’entre crochet ici, ou sur la page en cours.
Au pied de la nouvelle page qui s’ouvre, tu cliques sur l’icône « Free trend micro CWSShredder »
Au pied de la nouvelle page qui s’ouvre, tu cliques sur « remove coolwebsearch » .
Le canned speech est simplifié au post 31 :
Pour CWS-Shredder au 5°

Ceci est plus simplement dit:
clic< < https://www.trendmicro.com/en_us/forHome.html >, puis tu cliques sur « remove coolwebsearch »
______________________________________________________
Le résultat de la première exécution est visible au post 68

VIRUS impossible de passer un antivirus par kesaco (07/11/2006 à 18:26 GMT+1)

le rapport de CWShredder


**** Run Keys ****

RUN: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
RUN: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
RUN: [KBD] C:\HP\KBD\KBD.EXE
RUN: [hpsysdrv] c:\windows\system\hpsysdrv.exe
RUN: [snpstd] C:\WINDOWS\vsnpstd.exe
RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
RUN: [WinampAgent] C:\Program Files\Winamp\winampa.exe
RUN: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
RUN: [dmtes.exe] C:\WINDOWS\System32\dmtes.exe
RUN: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
RUN: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
RUN: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
RUN: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
RUN: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
RUN: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe


**** Browser Helper Objects ****

BHO: [] C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
BHO: [SSVHelper Class] C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
BHO: [Windows Live Sign-in Helper] C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: [Google Toolbar Helper] c:\program files\google\googletoolbar2.dll
BHO: [i-Nav IDN Resolver] C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

les consignes étaient au post 66 (je les mentionne car je ne suis pas sur qu'elles soient correctes)
Tu fais
clic< < https://www.trendmicro.com/en_us/forHome.html >, puis tu cliques sur « remove coolwebsearch » puis tu cliques sur exécuter.

Puis de nouveau sur exécuter, tu acceptes la licence et tu cliques sur scan. En fin, tu cliques sur éditer un rapport.
______________________________________________________
Deuxième utlisation avec consignes du post 72
Tu relances la maneuvre avec Cwshredder mais, au lieu de cliquer sur scan tu cliques sur fix.

Si tu trouves un rapport, tu le postes.

Résltat au post 74 :
on m'a demandé si je voulais refaire un scan pour le rapport : le voila. j'ai fais fix avant.

**** Run Keys ****

RUN: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
RUN: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
RUN: [KBD] C:\HP\KBD\KBD.EXE
RUN: [hpsysdrv] c:\windows\system\hpsysdrv.exe
RUN: [snpstd] C:\WINDOWS\vsnpstd.exe
RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
RUN: [WinampAgent] C:\Program Files\Winamp\winampa.exe
RUN: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
RUN: [dmtes.exe] C:\WINDOWS\System32\dmtes.exe
RUN: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
RUN: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
RUN: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
RUN: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
RUN: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
RUN: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe


**** Browser Helper Objects ****

BHO: [] C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
BHO: [SSVHelper Class] C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
BHO: [Windows Live Sign-in Helper] C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: [Google Toolbar Helper] c:\program files\google\googletoolbar2.dll
BHO: [i-Nav IDN Resolver] C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

Quand Késaco écrit qu'elle a fait fix avant, je pense qu'elle veut dire qu'elle a exécuté le programme en mode fix dans un premier temps puis en mode scan pour obtenir un rapport ensuite.
______________________________________________________
Je pensais, j'avais en tête ces rapports, que la ligne était en 02 BHO et non en R3. Il faudrait la fixer par HijackThis avant de passer Cwshredder ?

Depuis, on est exclusivement sur la réusite de Fixwareout.
______________________________________________________

J'espère que c'est ce que tu attendais et que je n'ai pas fait trop long.

@+
0
Réponse 75 / 162
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 nov. 2006 à 19:02
Bonsoir Lyonnais

1°- Je te suis pleinement ici:

« Deuxième utlisation avec consignes du post 72
Tu relances la maneuvre avec Cwshredder mais, au lieu de cliquer sur scan tu cliques sur fix.
Si tu trouves un rapport, tu le postes.
Résltat au post 74 :
on m'a demandé si je voulais refaire un scan pour le rapport : le voila. j'ai fais fix avant. »

Effectivement, j'avais comparé les deux rapports CWShredder #68 et # 74 = IDENTIQUES ; ce qui m'avait fait réserver la même remarque que Lyonnais à soumettre à Kesako, pour en avoir la cœur net.

C'est un peu de ma faute; en effet, dans la formulation de ma demande #72 ( alors que je possédais le rapport #68 ) de relancer CWShredder " mais, au lieu de cliquer sur scan tu cliques sur fix " , j'ajoutais bêtement " Si tu trouves un rapport, tu le postes " ne sachant absolument pas si cette manipulation du FIX autorisait la production d'un rapport témoin.

Je ne le sais toujours pas.

2°- Par contre je ne te suis pas là :

« Je pensais, j'avais en tête ces rapports, que la ligne était en 02 BHO et non en R3. Il faudrait la fixer par HijackThis avant de passer Cwshredder ? »

De quoi parles-tu ? ( C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll ) ? Mais que veux-tu dire ?

Veux-tu demander s'il faut d'abord fixer une ligne ( encore fallait-il bien la choisir = trop de divergences à leur analyse ) avant de lancer CWShredder ?
Quid à propos de mode sans échec et de connexion Internet ?

Merci mon ami
Al.
0
Réponse 76 / 162
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 nov. 2006 à 19:19
Qc001 et ....

Correction du # 112 § 3°-

Kesako a bien mis à jour Java ( HJT de 15H38 ):

- O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
- O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

Je vais lui demander de faire une " correction des erreurs registres ", et supprimer lignes inutiles HJT.

J'ai lu trop rapidement.

PS: Comment interprêter ComboFix SVP ? MERCI.
0
Réponse 77 / 162
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 nov. 2006 à 19:39
Kesako,

Veux-tu bien lancer CCleaner :
< https://www.01net.com/404/ > ,
pour une suppression des incohérences du registre :

• Clique sur l'icône "Erreurs" situés dans la marge à gauche.
• Puis clique sur "Chercher les erreurs"
• Patiente pendant que CCleaner scan ton registre.

• Une fois le scan terminé, et avant de cliquer sur "Réparer les erreurs sélectionnées", il faut absolument " effectuer une sauvegarde du registre" ( comme proposé par un message affiché ).

• Tu peux alors cliquer ensuite sur "Corriger les erreurs".
Recommencer jusqu’à qu’il n’y ait plus d’erreurs détectées.

Demande s'il y a doute.

Merci
0
Réponse 78 / 162
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 nov. 2006 à 20:00
Bonsoir Qc001 et Afideg,

Je viens de regarder de nouveau Navi-sign.

Je suis allé un peu vite, de 2 façons :

- il y a une 02 BHO, une 08 et une 09 et même une 023 liées à ce logiciel en plus des 3 mentions données ci-dessus.

- Les fichiers semblent parfaitement légitimes (sauf si Késaco nous dit qu'elle n'a jamais installé ce logiciel).
@+
0
Réponse 79 / 162
kesaco Messages postés 115 Date d'inscription mercredi 1 novembre 2006 Statut Membre Dernière intervention 15 novembre 2007
8 nov. 2006 à 20:18
j'ai fait la mise a jour de java vers 15h et j'ai reparer les erreurs avec ccleaner (+sauvegarde)
je suis revenu 15 mn chez moi ,je dois repartir et reviendrais vers 21h30.
en attendant je lance un scan debit defender comme dit au#110 parceque c'est un peu long apres je continue avec ewido

grand merci a tous
0
Réponse 80 / 162
Qc001 Messages postés 256 Date d'inscription samedi 11 février 2006 Statut Membre Dernière intervention 9 juillet 2009 17
8 nov. 2006 à 20:58
Ouff...lol..

Merci à vous deux (afideg et Lyonnais) pour les explications détaillées :-)

Ok, pour Verisign : tout à fait légitime. Une petite recherche avec ce CLSID pointe vers CastleCops :
http://www.castlecops.com/tk558-i_nav_4_dll_digit.html

Plus d'infos ici :
http://www.idnnow.com/index.jsp?
--------------------

Perso, je n'utilise plus CWShredder depuis que Merijn l'a vendu à InterMute, qui a son tour a été acheté par Trend Micro. L'outil ne fais plus rien de remarquable, selon moi.. Des scanneurs tels Ewido (AVG-AS) font très bien l'affaire avec des infections CWS mineures. About:Buster (de RubbeR DuckY) peut toujours servir pour les fameux "About Blank - StartPage", qui sont quasi inexistants aujourd'hui.
--------------------

Restauration système : je préfère laisser les points de restau jusqu'à la toute fin d'une désinfection, donc lorsque la bécane est propre. Là je demande de créer un nouveau point et de supprimer tous les anciens. La raison est simple : si un fix tourne mal, il vaut mieux restaurer avec des fichiers infectés que de se retrouver sans restauration, ce qui pourrait être critique. On peut aisément désinfecter à nouveau, avec un point de restau infecté, mais on ne peut rien si ne pouvons restaurer (Restau vide). Pourquoi alors les compagnies d'antivirus nous disent, haut et fort, de désactiver la restau avant de désinfecter ? Mon opinion, non confirmable, est la suivante : ils ne veulent pas de plaintes... car leurs outils ne peuvent désinfecter les fichiers en restau (en mode normal) ; ceux-ci sont protégés par Windows :-)
--------------------

wdfmgr.exe est lié à Windows Media Player 10. Mais ce n'est pas évident à dépister. Le "worm" qui peut afficher le même fichier, au même endroit, est accompagné de clés (lignes O4) du nom de MS_Update Check X. La O23 confirme ici que c'est WMP 10.
---------------------

Comment interpréter ComboFix ? lol... y faut avoir accès à un site-école, où sUBs lui-même explique comment faire... Il a étalé le tout sur 2 ou 3 posts bien remplis ;-)
On peut se débrouiller avec Google par contre

Voilou, voilà :-)
================

kesaco : désolé pour les petits dérapages ;-)

Tu peux poster ton rapport de BitDefender, et un nouveau HijackThis! quand tu veux !

@+
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 nov. 2006 à 21:27
(Re)salut Qc001

1°- Restauration.
« Mon opinion, non confirmable, est la suivante : ils ne veulent pas de plaintes... car leurs outils ne peuvent désinfecter les fichiers en restau (en mode normal) ; ceux-ci sont protégés par Windows :-) »

Désolé, mais je ne traduis :
-ni ceci: "car leurs outils ne peuvent désinfecter les fichiers en restau (en mode normal)"
-ni cela:"ceux-ci sont protégés par Windows"

C'est le trouble dans ma tête.

2°- Pour " wdfmgr.exe ", ce fichier a été supprimé à ma demande.
Conséquences ?
En effet, j'ai déduit de CastleCops qu'il s'agissait d'un WORM.

Je ne saisi pas ta phrase ici :« Le "worm" qui peut afficher le même fichier, au même endroit, est accompagné de clés (lignes O4) du nom de MS_Update Check X. »

Veux-tu dire, par là, que là où se trouvait " wdfmgr.exe ", il ne pouvait s'agir de WORM, à défaut ( à ce moment ) d'une 04 complémentaire portant la mention MS_Update Check X en son corps ??

Si oui, faut-il réinstaller Windows Media Player 10 ( pour récupérer ce fichier ( qui me fait peur - je ne le sens pas ) ?
Trouver sur un autre forum :
« Une question toute bête : connaissez-vous un bon tutoriel pour Windows Media Player 10?
Un tutoriel pour le plus mauvais programme de lecture multémédia de tous les temps... tu rigole j'espère...
T'as déjà essayé MediaPlayerClassic ??? »

PS: je ne vois pas Windows Media Player 10 dans la liste de logiciels de DiagHelp .

Merci de me préciser.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses