Virus fantôme ? Résolu/Fermé

Question

Bonjour,

J'ai un souci sur mon pc, que je n'arrive pas a régler.

Sous xp pro, depuis trois jours, je n'ai plus accès au panneau de configuration, au gestionnaire de tache ainsi qu'a la base de registre. J'ai pu réactiver le gestionaire de tache et le panneau de configuration en passant par gpedit.msc mais je suis sur qu'il y a quelque chose de pas normal derrière toute cette histoire. C'est pourquoi je sollicte votre aide.

J'ai suivi avec attention le post de "dready" ---xp home panneau de configuration hs    epaulé de main de maître par "lance_yien". 
Par contre après cette etape ==> xp home panneau de configuration hs#25    je ne sais pas quoi faire a partir du rapport d' hijackthis. 

Quelqu'un pourrait m'indiquer la marche a suivre pour mettre fin a mon souci svp ?

merci.


Rapport ewido : 

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

 + Created at:	14:07:33 11/01/2007

 + Scan result:	



D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@247realmedia[2].txt -> TrackingCookie.247realmedia : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@kaboose.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@adtech[2].txt -> TrackingCookie.Adtech : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@com[1].txt -> TrackingCookie.Com : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@e-2dj6wjny-1kcjed.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@estat[1].txt -> TrackingCookie.Estat : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@searchportal.information[1].txt -> TrackingCookie.Information : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@serving-sys[2].txt -> TrackingCookie.Serving-sys : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned.
D:\Documents and Settings\pepsypotion\Cookies\pepsypotion@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.


::Report end


Rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 14:09:50, on 11/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Microsoft Office\Office\OSA.EXE
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32	lntsvr.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\eMule\emule.exe
D:\Program Files\ewido anti-spyware 4.0\guard.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Microsoft Office\Office\EXCEL.EXE
G:\Programes & Utilitaires\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OpwareSE2] "D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage d'Office.lnk = D:\Program Files\Microsoft Office\Office\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - https://www.snapfish.fr/2/home
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.3suissesphotos.com/Components/Upload/ImageUploader3.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.51.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - D:\Program Files\F-Secure\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe

Encore merci.

Jean.

salwa5 · Answer

bonjour c'est deconseillé d'avoir 2 antivirus !!

fait un scan en ligne avec kaspersky  et colle le resultat ici

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

 Clic sur l'image Kaspersky Online Scanner
      Clic sur J'accepte
      Installes le ActiveX
      Tu attends que la mise à jour se termine, une fois terminé, 
clic sur Suivant
      Clic sur Paramètres d'analyse
      Coche la case Étendue >> Ok
      Clic sur Poste de travail pour faire un scan complet
      Une fois le scan fini à 100%, clic sur Enregistrer rapport 
sous...
       Enregistrer le rapport au format .txt (en nom tu mets rapport ou 
ce que tu veux et en type tu choisis fichier texte (*.txt)
       Tu ouvres le fichier que tu viens de sauvegarder, copie et colle 
le rapport ici si tu es infecté

a++

Jean100s4 · Answer

Bonsoir,

Ca y est j'ai lancé l'analyse. Je poste le rapport une fois terminé.

Je ne savais pas pour l'antivirus. Lequel garder ?

Jean.

Jean100s4 · Answer

Analyse bloquée depuis plus de vingt minutes ! Que faire ?

Jean.

salwa5 · Answer

garde avast :)

a++

Jean100s4 · Answer

Analyse bloquée a 3 % depuis plus d'une heure. 
J'ai déjà désinstallé tous les anti virus il ne reste plus qu'Avast.
C'est bloqué sur outlook, boite de reception.
Je nage................

Jean.

salwa5 · Answer

ok arrette le scan kaspersky et fait un scan avec cet antivirus en ligne (sous IE et accepte l’activX) : 

http://www.bitdefender.fr/bd/site/search.php# 
Clique sur « Bitdefender scan on line » suis les instructions. 
Et colle le rapport. 


demo a suivre
http://pageperso.aol.fr/balltrap34/defender.htm

a++

Jean100s4 · Answer

Bonsoir Salwa et merci pour tes indications.

Voici le rapport.




BitDefender Online Scanner
 
Rapport d'analyse généré à: Thu, Jan 11, 2007 - 22:55:32
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;
 
Statistiques
 
Temps
 01:22:46
 
Fichiers
 293711
 
Directoires
 3608
 
Secteurs de boot
 6
 
Archives
 15712
 
Paquets programmes
 52616
 
Résultats
 
Virus identifiés
 1
 
Fichiers infectés
 1
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 1
 
  
  
 
Info sur les moteurs
 
Définition virus
 369611
 
Version des moteurs
 AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)
 
Analyse des plugins
14
 
Archive des plugins
38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
  
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)=>price.zip=>06.exe
 Infecté par: Win32.Bagle.JL@mm
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)=>price.zip=>06.exe
 Echec de la désinfection
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)=>price.zip=>06.exe
 Supprimé
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)=>price.zip
 Mis à jour
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)
 Mis à jour
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)
 Mis à jour
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx
 Echec de la mise à jour
 

C'est pas terrible tout ça. Je crois que je vais le brûler :)
 

Jean.

salwa5 · Answer

- Télécharge eScan Antivirus Toolkit https://www.malekal.com/tutorial-escan-antivirus-toolkit/

Redémarre en mode sans échec, pour cela : 
redémarre l'ordinateur, avant le logo windows, tapote sur la touche F8, un menu va apparaître, choisis: 
mode sans échec avec prise en charge du réseau. 

- Installe le dans le dossier C:\Kaspersky 
- Rends toi dans le dossier C:\Kaspersky et double-clic sur kavupd.exe pour le mettre à jour 
- Ouvre le dossier C:\Kaspersky 
- double-clique sur le fichier mwavscan.com 
- Coche les options comme indiquées sur cette page https://www.malekal.com/fichiers/eScan/eScan3.png
- puis en bas à droite, clic sur Scan Clean pour démarrer le scan 
- A la fin du scan clic sur le bouton view log, enregistre le fichier à l'endroit que tu le souhaites 

- Redémarre l'ordinateur 
- Copie/colle le contenu le rapport de scan que tu as sauvegardé 

a+++

Jean100s4 · Answer

Bonjour,

J'arrive pas a coller le rapport, a mon avis il est trop grand. c'est bien le fichier texte mwav dans kapersky ?

Jean.

salwa5 · Answer

bonjour heberge le raport sur ce site

 http://dl.free.fr/ 

clic sur parcourir / cherche et selection le raport gmer ( que t'as energistrer precedement) ensuite clic sur envoyé 

une nouvelle fenetre s'ouvre copie / colle le lien qu'il te donne ici 

a+++

Jean100s4 · Answer

Voici.

http://dl-3.free.fr/52616e646f6d49568fb77ac895c60fcb9213e1985bad7f7e416a8b04ce8d5713/mwav2.txt

Jean.

salwa5 · Answer

d'apres le raport ton ordi est propre

as tu d'autre problemes a nous soumettre?

a+++

Jean100s4 · Answer

Ben oui, j'ai toujours pas accès à la base de registre, ce qui me laisse supposer que quelque est modifié ou a été modifié sans mon accord, et donc que mon souci persiste.

Mais si tu me dis que l'ordi est propre, je te crois.

Encore merci et bonne continuation.

Jean.

salwa5 · Answer

pour la base de registre y'a t'il un message d'erreur quand tu essay de l'ouvrir?

repost un nouveau hijack stp

a+++

Jean100s4 · Answer

Re,

Pour la base de registre, le message c'est : "La modification du registre a été désactivée par votre administrateur".

Pour hijack voici le nouveau rapport :

Logfile of HijackThis v1.99.1
Scan saved at 19:20:03, on 12/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32	lntsvr.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
G:\Programes & Utilitaires\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OpwareSE2] "D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage d'Office.lnk = D:\Program Files\Microsoft Office\Office\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - https://www.snapfish.fr/2/home
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.3suissesphotos.com/Components/Upload/ImageUploader3.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.51.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - D:\Program Files\F-Secure\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe

Jean.

salwa5 · Answer

essay ca


Démarrer, éxécuter,tapes :  gpedit.msc 

la tu vois apparaitre une fenêtre appelé Stratégie de groupe: 

suis ce  chemin : 

Configuration utilisateur/modèle d'administration/système 
et à droite tu vas voir : empêche l'accès aux outils de modification du registre. 

Double clique sur cette ligne Tu coche non configuré et tu clique sur appliquer et tu ferme le tout, normalement après cela tu devrais avoir accès au registre 

redemare et dit nous ce que ca donne

a++

Jean100s4 · Answer

Ca ne marche pas, j'ai toujours le même message d'erreur.

nora · Answer

c'est pas serieux serieux  alors,,,vous savez j'ai même telecharger le logiciel Kaspersky... enfin  merci pour votre message jean bon fin de soirée

salwa5 · Answer

essay de reparer le registre avec ce script

http://securite-facile.ovh.org/fi/VirusBdRRepair.vbs

tu l'execute ensuite tu accepte la fusion avec le registre

a++

salwa5 · Answer

jean .. si le scripte ne regle pas le probleme essay celui ci

http://www.d2i.ch/pn/telechargement/vbs/DesactiveRestrictionsRegistre.vbs 

redemare et dit nous ce que ca donne
a++++

Jean100s4 · Answer

Bravo Salwa, ca fonctionne. Encore merci du temps que tu as consacré a mon souci.

Nora j'ai pas tout compris a message.

Merci beaucoup Salwa.

Jean.

salwa5 · Answer

De rien :) 

avant de partir peu tume dire qu'elle script a fonctioné? car je t'ai donnée 2 

a++

Jean100s4 · Answer

Celui ci === > http://securite-facile.ovh.org/fi/VirusBdRRepair.vbs 

Et sans redémarrer.

A bientôt.

Jean.

salwa5 · Answer

ok merci

a+++

Jean100s4 · Answer

J'ai quand même relancé un bit defender (mais non je suis pas têtu) et il trouve toujours win32bagle !

Jean.

salwa5 · Answer

il le trouve ici ??

D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx

a+++

Jean100s4 · Answer

En effet. J'ai d'ailleurs dans outlook 4 messages que je ne peux supprimer sous peine de planter le pc.

salwa5 · Answer

il faut aller dans ta messagerie outlook et vidé la corbeille

a+++

Jean100s4 · Answer

C'est pourtant déjà fait. Mais c'est toujours là !

salwa5 · Answer

tu t'es connecté a ta messagerie outlook?

ensuite as tu vidé le dossier element supprimée?

a+++

Jean100s4 · Answer

Bonsoir,

Oui, c'est la procédure que j'ai appliqué.

En parallèle j'ai fait un nouveau scan avec bitdefender dont voici le résultat :

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Fri, Jan 12, 2007 - 23:55:46
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 03:06:51
 
Fichiers
 341646
 
Directoires
 3694
 
Secteurs de boot
 8
 
Archives
 15461
 
Paquets programmes
 61068
 
  
  
 
Résultats
 
Virus identifiés
 3
 
Fichiers infectés
 3
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 3
 
  
  
 
Info sur les moteurs
 
Définition virus
 369898
 
Version des moteurs
 AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)=>price.zip=>06.exe
 Infecté par: Win32.Bagle.JL@mm
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)=>price.zip=>06.exe
 Echec de la désinfection
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)=>price.zip=>06.exe
 Supprimé
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)=>price.zip
 Mis à jour
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)=>[Subject: ][Date: Wed, 21 Sep 2005 09:12:08 +0800]=>(MIME part)
 Mis à jour
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx=>(message 65)
 Mis à jour
 
D:\Documents and Settings\pepsypotion\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft\Outlook Express\Éléments supprimés.0bx
 Echec de la mise à jour
 
I:\Programes & Utilitaires\Divers programmes\kazaa_lite_202_francais_kpp_v202_edition.zip=>kazaa_lite_202_francais_kpp_v202_edition.exe=>(Instyler o)=>(Instyler Module 7)
 Infecté par: DeepScan:Generic.Malware.SFN!.8E6A178B
 
I:\Programes & Utilitaires\Divers programmes\kazaa_lite_202_francais_kpp_v202_edition.zip=>kazaa_lite_202_francais_kpp_v202_edition.exe=>(Instyler o)=>(Instyler Module 7)
 Echec de la désinfection
 
I:\Programes & Utilitaires\Divers programmes\kazaa_lite_202_francais_kpp_v202_edition.zip=>kazaa_lite_202_francais_kpp_v202_edition.exe=>(Instyler o)=>(Instyler Module 7)
 Supprimé
 
I:\Programes & Utilitaires\Divers programmes\kazaa_lite_202_francais_kpp_v202_edition.zip=>kazaa_lite_202_francais_kpp_v202_edition.exe=>(Instyler o)
 Echec de la mise à jour
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)=>(Instyler Module 202)=>(bz2_data)
 Infecté par: Trojan.Exploit.Html.Codebaseexec.CC
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)=>(Instyler Module 202)=>(bz2_data)
 Echec de la désinfection
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)=>(Instyler Module 202)=>(bz2_data)
 Supprimé
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)=>(Instyler Module 202)
 Mis à jour
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)
 Echec de la mise à jour

+

BitDefender Online Scanner - Rapport virus en temps réel	 	 
Généré à: Sat, Jan 13, 2007 - 00:02:46
  	 	 
Info d'analyse	 	 
Fichiers scannés	341700
Infectés Fichiers	3
	 	 
 	 	 
Virus Détectés	 	 
Trojan.Exploit.Html.Codebaseexec.CC	1
DeepScan:Generic.Malware.SFN!.8E6A178B	1
Win32.Bagle.JL@mm	1
	 	 
 	 	 
  	 	 
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde. 		

Ca change, non ?

Jean.

salwa5 · Answer

bonsoir y'a t'il d'autre personne a part toi qui utilise outlook dans cet ordi?

le message verolé a été recu le 21 Sep 2005 09:12:08 +0800et s'intitule price.zip c'est celui la qu'il faut supprimer

a+++

salwa5 · Answer

Silvie tu t'es trompé de sujet il fallais me repondre ici :p antivirus comment installer avast

a+++²

Jean100s4 · Answer

Ce message est impossible a supprimer.

Jean.

salwa5 · Answer

y'a t'il un message d'erreur?

a++

Jean100s4 · Answer

Négatif.

salwa5 · Answer

essay de le virer avec ca 
https://download.bullguard.com/antibagle.exe

a+++

salwa5 · Answer

si ca marche pas alors essay ce programe

http://www.trendmicro.com/ftp/products/tsc/tsc.zip

decompress le ensuite double click sur tsc.cmd 

a la fin de l'analyse , va dans le dossier report et copie colle le resultat ici


a+++

Jean100s4 · Answer

Voici avec bullgard :

http://img222.imageshack.us/img222/1341/rapportbullgardod6.jpg

Je lance le second.

Jean.

Edit : le rapport de tsc :

Damage Cleanup Engine (DCE)  3.98(Build 1012)
Windows XP(Build 2600: Service Pack 1)

Start time : sam. janv. 13 2007 01:58:33

Load Damage Cleanup Template (DCT) "G:\Programes & Utilitaires	sc.ptn" (version 828) [success]

Complete time : sam. janv. 13 2007 01:58:45
Execute pattern count(3041), Virus found count(0), Virus clean count(0), Clean failed count(0)

Jean100s4 · Answer

Bonjour,

J'ai refait un scan avec bitdefender et il trouve toujours les 3 virus ! C'est tout simplement hallucinant.

Jean.

salwa5 · Answer

bonjour tu as quelle version d'outlook?

a+++

Jean100s4 · Answer

Outlook express 6.0

salwa5 · Answer

ok desinstalle outlook ensuite fait un scan bitefender et colle le resultat ici


Supprimez Outlook Express 6.0 de Windows XP Édition familiale ou Windows XP Professionnel.

a.  Cliquez successivement sur Démarrer et Exécuter, tapez appwiz.cpl, puis cliquez sur OK. 
b.  Dans Ajout/Suppression de programmes, cliquez sur Ajouter/supprimer des composants Windows. 
c.  Dans la liste Composants, désactivez la case à cocher Outlook Express, puis cliquez sur Suivant. Outlook Express sera supprimé de l'ordinateur. 


a+++

Jean100s4 · Answer

Ok,

Petite question : Est ce que le contenu d'outlook (message, carnet d'adresse) sera effacé ? 

Jean.

salwa5 · Answer

tu te connecte a ta messagerie outlook avec une adress hotmail?

a++

Jean100s4 · Answer

Négatif. Par contre ma femme s'y connecte avec wanadoo.

Jean.

salwa5 · Answer

tu poura accedé a tes mails via le site wanadoo 

rien ne sera perdu sauf peu etre les element envoyé et le carnet d'adress

avant de faire ca , c'est a dire supprimé outlook 

essay de vidé les dossier "element supprimé" de outlook sur tout le compte existant y compris celui de ta femme et ensuite refait un scan bitefedender si le probleme persiste alors je ne vois pas d'autre soltion que desinstaller outlook

a+++

Jean100s4 · Answer

J'ai fait une sauvegarde sur cd des messsages stockés dans outlook.

J'ai desinstallé selon ta procédure outlook express 6.0.

J'ai relancé un scan avec bitdefender.

Je colle le rapport dès que ce sera fini.

Jean.

Jean100s4 · Answer

Bonsoir,

Voilà c'est beaucoup mieux puisque le virus contenu dans outlook a été supprimé manuellement selon les instructions de Salwa de la manière suivante :

a. Cliquez successivement sur Démarrer et Exécuter, tapez appwiz.cpl, puis cliquez sur OK. 
b. Dans Ajout/Suppression de programmes, cliquez sur Ajouter/supprimer des composants Windows. 
c. Dans la liste Composants, désactivez la case à cocher Outlook Express, puis cliquez sur Suivant. Outlook Express sera supprimé de l'ordinateur.
d. Aller dans D:\Documents and Settings\"votre session"\Local Settings\Application Data\Identities\{72E01B28-B886-4539-BFDB-63AF03A3C512}\Microsoft et supprimer le dossier outlook.
e. réinstaller oulook de la façon inverse a celle appliqué pour la suppression d'outlook.

Le rapport de bitdefender :

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Sat, Jan 13, 2007 - 19:53:27
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 02:55:10
 
Fichiers
 348419
 
Directoires
 3717
 
Secteurs de boot
 8
 
Archives
 13413
 
Paquets programmes
 61798
 
  
  
 
Résultats
 
Virus identifiés
 1
 
Fichiers infectés
 1
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 1
 
  
  
 
Info sur les moteurs
 
Définition virus
 370008
 
Version des moteurs
 AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)=>(Instyler Module 202)=>(bz2_data)
 Infecté par: Trojan.Exploit.Html.Codebaseexec.CC
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)=>(Instyler Module 202)=>(bz2_data)
 Echec de la désinfection
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)=>(Instyler Module 202)=>(bz2_data)
 Supprimé
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)=>(Instyler Module 202)
 Mis à jour
 
I:\Photos voitures	ofs Audi\blasterball.exe=>(Instyler o)
 Echec de la mise à jour

Je vais a présent lancer kapersky pour voir s'il fonctionne.

Jean.

Jean100s4 · Answer

Bonjour,


J'ai passé kapersky puis bitdefender encore une fois et a priori, plus de virus.

Merci beaucoup beaucoup.

Jean.

salwa5 · Answer

de rien :)

pour finir quelque conseils de base :



* Ne pas telecharger n'importe quoi 

* Ne pas ouvrir des pieces jointes d'un expediteur inconnu 

* Toujour analysé un fichier recu via msn ou autre avec avast 

* Ne pas cliqué sur des lien louche dans msn 

* Passe reglierement les antispyware (adaware , spybot , avg .. ect) pense a les mettre ajour avant de les lancé c'est tres important 

* Supprime regulierement les fichiers inutiles (fichiers temporaire , cookies .. ect) a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/ 

* Netoye ta base de registre avec regcleaner https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/ 

* Utiliser le navigateur Mozzilla  il est plus sure http://www.mozilla-europe.org/fr/products/firefox/

-Maintenant que ton ordinateur est propre je te conseille de creer un point de restauration comme ca en cas de probleme (virus , plantage ..ect) tu poura tjr revenir en arriere 
http://www.aidoforum.com/tutoriaux-371-creer-un-point-de-restauration-sous-windows.html

a+++ 

Bon surf ;)

zakaria · Answer

voila la solution :

http://www.malekal.com/Email-Worm.Win32.Rays.php

de rien...

Virus fantôme ?

52 réponses

Discussions similaires

Newsletters