Comment supprimer drivecleaner ?

Résolu

steph5691 Messages postés 21 Statut Membre -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité - 7 févr. 2007 à 22:01

Bonjour à tous,

Je reçois à plusieurs reprises des messages de drivecleaner 2006 quand je suis connecté sur internet ! Apparement il s'agit d'un spyware mais ni spyboot, ni avg ne me l'on détecté à part Spyhunter (avec d'autres trojan !) Merci de m'indiquer la marche à suivre car je suis novice dans ce domaine. Je vous poste mon rapport Hijakthis :

Logfile of HijackThis v1.99.1
Scan saved at 22:20:45, on 27/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\freeBrowser\vlc\vlc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\STEPHA~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [xuzbwvjyr] c:\windows\system32\xuzbwvjyr.exe xuzbwvjyr
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - HKCU\..\Run: [Odebit Multimedia V2] C:\Program Files\Odebit Multimédia\V2\Odebit.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?75063bf70dd54a9fb8fa5245d588c2e2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?75063bf70dd54a9fb8fa5245d588c2e2
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115127468031
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Afficher la suite

A voir également:

Comment supprimer drivecleaner ?
Supprimer rond bleu whatsapp - Guide
Comment supprimer une page sur word - Guide
Comment supprimer une application préinstallée sur android - Guide
Supprimer pub youtube - Accueil - Streaming
Fichier impossible à supprimer - Guide

23 réponses

Réponse 1 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonsoir,

Prenez connaissance du contenu de ce lien:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme Black Light qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
Maintenant faites un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip (de IL-MAFIOSO)
Enregistrez la cible (du lien) sous... et enregistrez-le sur votre bureau.
Faites un clic droit sur navilog1.zip et choisissez "tout extraire"
Ensuite double cliquer sur navilog1.bat
Laissez vous guider. Au menu principal, choisissez 1 et validez.
(Ne faites pas le choix 2 sans notre avis/accord)
Patientez jusqu'au message :
*** Analyse Termine le ..... ***
Appuyez sur une touche, comme demandé, le bloc note va s'ouvrir.
Copier/coller l'intégralité dans une réponse. Refermez le bloc note.
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

HijackThis est mal placé, à l'intérieur d'un répertoire temporaire. Il doit être placé dans un répertoire c:\Hijackthis. Suis ce tuto :
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

@+

steph5691 Messages postés 21 Statut Membre

Bonsoir et merci pour votre aide :
voici le rapport :

Search Navipromo version 1.0.3 commencé le 27/01/2007 à 23:09:03,62

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\STEPHANIE\Bureau\navilog1
Mise a jour le 26.01.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\STEPHANIE\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

c:\WINDOWS\system32\qmlawvhke.dat
C:\windows\system32\qmlawvhke.exe
c:\WINDOWS\system32\qmlawvhke_nav.dat
c:\WINDOWS\system32\qmlawvhke_navps.dat

*** Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

C:\WINDOWS\system32\qbxlos.dat

*** Analyse Terminé le 27/01/2007 à 23:17:43,82 ***

Réponse 2 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Re,

On continue comme ça : (imprimez les consignes car la procédure est en partie en mode sans échec)

Démarrez en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

Double cliquez sur navilog1.bat
Au menu principal, choisissez 2 et validez.
A la question posée, choisissez "mode automatique" en tapant A ou a puis validez
Laissez vous guider et répondez aux éventuelles questions.
Votre bureau va disparaître, c'est normal.
Patientez jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuyez sur une touche comme demandé, le bloc note va s'ouvrir.
Sauvegardez le rapport de manière à le retrouver.
Refermez le bloc note. Votre bureau va réapparaître.
Le rapport est aussi sauvegardé à la racine du disque (cleannavi.txt)

Redémarrer en mode normal.
Fermez Internet explorer puis Démarrer/panneau de configuration/options Internet
- onglet "Contenu" puis onglet "Certificats" et si vous trouvez ceci, en particulier dans « éditeurs approuvés » :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"

Les supprimer.

NOTE : Si votre Bureau ne réapparaît pas, faites ceci :
*Cliquez sur Démarrer.
*Choisissez Exécuter..., tapez Explorer puis validez.

Remettez un nouveau log HijackThis.

@+

steph5691 Messages postés 21 Statut Membre

Bonjour

J'ai procédé comme vous me l'avez demandé. Voici le nouveau log hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:07:00, on 28/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Windows Desktop Search\windowssearch.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
C:\Program Files\freeBrowser\vlc\vlc.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [xuzbwvjyr] c:\windows\system32\xuzbwvjyr.exe xuzbwvjyr
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - HKCU\..\Run: [Odebit Multimedia V2] C:\Program Files\Odebit Multimédia\V2\Odebit.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?75063bf70dd54a9fb8fa5245d588c2e2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?75063bf70dd54a9fb8fa5245d588c2e2
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115127468031
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Réponse 3 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour

Comment s'est passé Navifix en mode sans échec et choix 2 ?

Relance le en mode normal et choix 1 et poste le rapport.

@+

Réponse 4 / 23

steph5691 Messages postés 21 Statut Membre

ok ! j'avais oublié de poster le rapport navifix en mode sans echec le voici :

Clean Navipromo version 1.0.3 commencé le 28/01/2007 à 9:52:37,35

Fix lancé depuis C:\Documents and Settings\STEPHANIE\Bureau\navilog1
Mise a jour le 26.01.2007 a 18h00 by IL-MAFIOSO

Executé en mode sans echec

*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\STEPHANIE\Application Data ***

...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !

*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalisée avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)
Le fix ne traite pas ce résultat. Fichiers à supprimer si nécéssaire

C:\WINDOWS\system32\qbxlos.dat
C:\WINDOWS\system32\qmlawvhke.dat

*** Nettoyage termine le 28/01/2007 à 9:56:03,81 ***

et voici le choix 1 en mode normal :

Search Navipromo version 1.0.3 commencé le 28/01/2007 à 11:40:58,21

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\STEPHANIE\Bureau\navilog1
Mise a jour le 26.01.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\STEPHANIE\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

c:\WINDOWS\system32\qmlawvhke.dat
C:\windows\system32\qmlawvhke.exe
c:\WINDOWS\system32\qmlawvhke_nav.dat
c:\WINDOWS\system32\qmlawvhke_navps.dat

*** Recherche fichiers ***

*** Recherche cles registre ***

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

C:\WINDOWS\system32\qbxlos.dat

*** Analyse Terminé le 28/01/2007 à 11:48:12,34 ***

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour,

Redémarres en mode sans échec
Double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 4 et valides.
Ton bureau va disparaitre, c'est normal.
Il va te demander de saisir le nom de fichier, saisies ce qui est en gras ci-dessous et rien d'autre puis valides:

qmlawvhke

le fix va te demander de le resaisir, fais-le et valides
Laisses toi guider et réponds aux questions éventuelles
Patientes jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegardes le rapport de manière à le retrouver
Refermes le blocnote. Ton bureau va réapparaitre
Redémarres normalement et copies-colles l'intégralité dans une réponse.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau

Redémarre en mode normal,
Fermes internet explorer puis Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
Tu les supprimes.

Post le rapport avec un nouveau log Hijackthis.

@+

steph5691 Messages postés 21 Statut Membre

ok ! voici le rapport navilog :

Clean Navipromo version 1.0.3 commencé le 28/01/2007 à 14:46:02,67

Fix lancé depuis C:\Documents and Settings\STEPHANIE\Bureau\navilog1
Mise a jour le 26.01.2007 a 18h00 by IL-MAFIOSO

Executé en mode sans echec

Mode suppression par méthode manuelle

Nom du fichier saisi : qmlawvhke

*** Recherche, Creation backups et suppression ***

C:\WINDOWS\system32\qmlawvhke_navup.dat absent !
C:\WINDOWS\system32\qmlawvhke_m2s.xml absent !

C:\WINDOWS\system32\qmlawvhke.exe trouvé !
Copie C:\WINDOWS\system32\qmlawvhke.exe réalisé avec succès !
C:\WINDOWS\system32\qmlawvhke.exe supprimé !

C:\WINDOWS\system32\qmlawvhke.dat trouvé !
Copie C:\WINDOWS\system32\qmlawvhke.dat réalisé avec succès !
C:\WINDOWS\system32\qmlawvhke.dat supprimé !

C:\WINDOWS\system32\qmlawvhke_nav.dat trouvé !
Copie C:\WINDOWS\system32\qmlawvhke_nav.dat réalisé avec succès !
C:\WINDOWS\system32\qmlawvhke_nav.dat supprimé !

C:\WINDOWS\system32\qmlawvhke_navps.dat trouvé !
Copie C:\WINDOWS\system32\qmlawvhke_navps.dat réalisé avec succès !
C:\WINDOWS\system32\qmlawvhke_navps.dat supprimé !

C:\WINDOWS\prefetch\qmlawvhke*.pf trouvé !
Copie C:\WINDOWS\prefetch\qmlawvhke*.pf réalisé avec succès !
C:\WINDOWS\prefetch\qmlawvhke*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\STEPHANIE\Application Data ***

*** Suppression fichiers ***

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalisée avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)
Le fix ne traite pas ce résultat. Fichiers à supprimer si nécéssaire

C:\WINDOWS\system32\qbxlos.dat

*** Nettoyage termine le 28/01/2007 à 14:49:52,46 ***

et le nouveau rapport hijakthis :
Logfile of HijackThis v1.99.1
Scan saved at 14:59:47, on 28/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\rundll32.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?75063bf70dd54a9fb8fa5245d588c2e2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?75063bf70dd54a9fb8fa5245d588c2e2
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115127468031
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Par contre je n'ai pas trouvé cette fois ci dans "Certificats" :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"

Encore merci pour ton aide.

Réponse 6 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour,

OK, l'outil a bien fonctionné cette fois-ci. Comme il est nouveau, c'est moi qui ne te l'ai pas bien fait utiliser la première fois.

Rends toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\qbxlos.dat

Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne le trouve pas, fais cela :
========================================
->Affiches tous les fichiers et dossiers :
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoches] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoches] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
et recommence la maneuvre avec Virustotal.

Tu rebootes et tu repost un log HijackThis.

@+

steph5691 Messages postés 21 Statut Membre

Alors voici le rapport du scan de Virustotal :

Complete scanning result of "qbxlos.dat", received in VirusTotal at 01.28.2007, 16:35:34 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.32 01.27.2007 no virus found
Authentium 4.93.8 01.26.2007 no virus found
Avast 4.7.936.0 01.27.2007 no virus found
AVG 386 01.28.2007 no virus found
BitDefender 7.2 01.28.2007 no virus found
CAT-QuickHeal 9.00 01.27.2007 no virus found
ClamAV devel-20060426 01.28.2007 no virus found
DrWeb 4.33 01.28.2007 no virus found
eSafe 7.0.14.0 01.26.2007 no virus found
eTrust-InoculateIT 23.73.126 01.27.2007 no virus found
eTrust-Vet 30.3.3353 01.27.2007 no virus found
Ewido 4.0 01.28.2007 no virus found
Fortinet 2.85.0.0 01.28.2007 no virus found
F-Prot 4.2.1.29 01.26.2007 no virus found
Ikarus T3.1.0.27 01.28.2007 no virus found
Kaspersky 4.0.2.24 01.28.2007 no virus found
McAfee 4950 01.26.2007 no virus found
Microsoft 1.2101 01.28.2007 no virus found
NOD32v2 2014 01.28.2007 no virus found
Norman 5.80.02 01.26.2007 no virus found
Panda 9.0.0.4 01.28.2007 no virus found
Prevx1 V2 01.28.2007 no virus found
Sophos 4.13.0 01.28.2007 no virus found
Sunbelt 2.2.907.0 01.26.2007 no virus found
TheHacker 6.0.3.159 01.28.2007 no virus found
UNA 1.83 01.26.2007 no virus found
VBA32 3.11.2 01.28.2007 no virus found
VirusBuster 4.3.19:9 01.28.2007 no virus found

Aditional Information
File size: 5651 bytes
MD5: 18477ce56d3d6fb901f6c284cb5c3e6e
SHA1: a79ca306bb9d87dec4d2d4f44a4ad137a22ec884

et le nouveau log hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 17:01:13, on 28/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Desktop Search\wds_sl.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control

Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program

Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolba

rNotifier.exe
C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Home

Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared

Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared

Files\CLML_NTService\CLMLService.exe
C:\Program Files\Sunbelt Software\Personal

Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft

Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\Home

Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Sunbelt Software\Personal

Firewall\kpf4gui.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Desktop Search\windowssearch.exe
C:\Program Files\Sunbelt Software\Personal

Firewall\kpf4gui.exe
C:\Program Files\Windows Desktop

Search\WindowsSearchIndexer.exe
C:\Program Files\freeBrowser\vlc\vlc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start

Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL =

https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Search_URL =

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search

Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start

Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper -

{02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program

Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object -

{2E03C0FD-4C48-43A7-9A54-00240C70FF16} -

C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: dsWebAllowBHO Class -

{2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program

Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F}

- C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper -

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program

Files\Fichiers communs\Microsoft Shared\Windows

Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper -

{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program

files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper -

{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program

Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google -

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar -

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program

Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar -

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program

Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI

Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home

Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home

Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program

Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avast!]

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program

Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program

Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte

Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKCU\..\Run: [ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program

Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolba

rNotifier.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program

Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image

Zone.lnk = C:\Program Files\HP\Digital

Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk =

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk =

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program

Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search -

res://C:\Program Files\Windows Live

Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using

BitComet - res://C:\Program

Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet

- res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel

- res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet

d'arrière-plan - res://C:\Program Files\Windows Live

Toolbar\Components\fr-fr\msntabres.dll.mui/229?75063bf70dd54

a9fb8fa5245d588c2e2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet

de premier plan - res://C:\Program Files\Windows Live

Toolbar\Components\fr-fr\msntabres.dll.mui/230?75063bf70dd54

a9fb8fa5245d588c2e2
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}

(WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/

en/x86/client/wuweb_site.cab?1115127468031
O18 - Protocol: livecall -

{828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim -

{828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) -

Unknown owner - C:\Program Files\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program

Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner -

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe"

/service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner -

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe"

/service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware

Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware

7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program

Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) -

Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS)

(CLCapSvc) - Unknown owner - C:\Program Files\Home

Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) -

Unknown owner - C:\Program Files\Home

Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink -

C:\Program Files\CyberLink\Shared

Files\CLML_NTService\CLMLServer.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) -

Sunbelt Software - C:\Program Files\Sunbelt

Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP -

C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 -

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Voila, j'espère que tout est ok cette fois ci !

Réponse 7 / 23

maxou33 Messages postés 7 Statut Membre

Bonjour je me permet de poster ici, excuse-moi steph car j'ai le meme probleme vu du du rapport de navilog.

par contre moi navilog n'as pas pu scanner en mode sans echec avec un message d'erreur=> code 3 ???

J'ai kan meme lancé une desinfection en mode sans echec et pour l'instant ca va

J'ai posté hier pour ce probleme mais j'ai pas eu de reponses aujourd"hui et les popups devenaient de plus en plus presentes.

merci et desolé de mettre incruster dans votre discussion

a bientot maxou33

Réponse 8 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonsoir,

Désolé, je n'ai pas vu que ma réponse avait disparu lors d'un plantage du site;

Supprime ce fichier C:\WINDOWS\system32\qbxlos.dat en passant par l'exploratteur Windows et clic droit;

S'il résiste, va en mode sans échec.

repost un log HijackThis (vérifie qu'il est facilement lisible, merci).

@+

steph5691 Messages postés 21 Statut Membre

Bonjour,
Merci pour ta réponse (j'ai également eu des problèmes pour me connecter au site hier soir) bon, je ne suis pas chez moi maintenant mais je m'occupe de supprimer ce fichier dès mon retour du travail ce soir. Par contre qu'entend tu par repost un log HijackThis lilible ? Je fais juste un copié collé du rapport ! faut il que je modifie quelque chose ? Merci encore et à bientôt.

Réponse 9 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour,

Si tu compares les log HijackThis des posts 8 et 11, ils n'ont pas du tout la même présentation. Mais je ne sais pas d'où ça vient.

Si tu pouvais vérifier. Quand tu as envoyé, tu peux 'éditer' ton message, ce qui permet de le corriger.

A ce soir.

steph5691 Messages postés 21 Statut Membre

Bonsoir,
J'ai supprimé le fichier en cause et je te post le nouveau log hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 19:29:11, on 29/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\freeBrowser\vlc\vlc.exe
C:\Program Files\Windows Desktop Search\WindowsSearchFilter.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?75063bf70dd54a9fb8fa5245d588c2e2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?75063bf70dd54a9fb8fa5245d588c2e2
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115127468031
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Est ce que tout est ok ou faut il encore supprimer autre chose ?

Merci d'avance, a+

Réponse 10 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonsoir

merci pour le log.

Il est clean. On entrte dans les dernières vérifications.

Dernière vérification :

On va faire un scan en ligne. Rends toi sur ce site.

https://www.bitdefender.com/toolbox/

post le rapport dans ta réponse.

Avant, regarde le tuto de démonstration ici 'merci balltrap)

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

Dans la procédure qui suis, je vais te faire supprimer Bounty. C'est un nid à problèmes.

Imprime les instructions, une partie est en mode sans échec.
Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilises pas tout de suite.

Antispywares et autres :

*Ad-Aware (gratuit)
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Tuto :
http://perso.orange.fr/entraide-hijackthis/AdAware/AdAware.htm

*Spybot (gratuit) :
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

* AVG AS

AVG anti spyware
https://www.01net.com/
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiches tous les fichiers et dossiers :
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoches] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoches] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
Arrête ce service

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

pour ça fais cette manip :

Démarrer -> executer tape services.msc clic droit sur le service cité - > propriétés et dans "type de démarrage" et mets le sur « arrêté » et « désactivé ».

========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->Recherche et supprime ces fichiers en gras (si présents) :

C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe<--attention a l'orthographe

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]

========================================
->Lance AVG pour un scan complet "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
========================================
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
========================================
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
========================================
->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Décoche] « afficher les dossiers et fichiers cachés »

[Recoches] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes probs s’il t’en reste.
@+

steph5691 Messages postés 21 Statut Membre

Bonsoir,

Déja, voici le rapport du scan bitdefender (dommage que l'on ne peut pas l'utiliser avec firefox mais seulement Internet Explorer ! : parce que encore 2 pages de pub qui se sont affiché !)

BitDefender Online Scanner

Scan report generated at: Mon, Jan 29, 2007 - 21:49:27

Scan path: C:\;D:\;E:\;F:\;G:\;H:\;I:\;

Statistics

Time

01:13:40

Files

679258

Folders

5982

Boot Sectors

4

Archives

11817

Packed Files

80331

Results

Identified Viruses

5

Infected Files

7

Suspect Files

0

Warnings

0

Disinfected

0

Deleted Files

7

Engines Info

Virus Definitions

417831

Engine build

AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)

Scan plugins

14

Archive plugins

38

Unpack plugins

6

E-mail plugins

6

System plugins

1

Scan Settings

First Action

Disinfect

Second Action

Delete

Heuristics

Yes

Enable Warnings

Yes

Scanned Extensions

*;

Exclude Extensions

Scan Emails

Yes

Scan Archives

Yes

Scan Packed

Yes

Scan Files

Yes

Scan Boot

Yes

Scanned File

Status

C:\Documents and Settings\STEPHANIE\Bureau\SmitfraudFix\SmitfraudFix\restart.exe

Infected with: Trojan.Shutdown.N

C:\Documents and Settings\STEPHANIE\Bureau\SmitfraudFix\SmitfraudFix\restart.exe
Disinfection failed

C:\Documents and Settings\STEPHANIE\Bureau\SmitfraudFix\SmitfraudFix\restart.exe
Deleted

C:\Documents and Settings\STEPHANIE\Bureau\SmitfraudFix.zip=>SmitfraudFix/restart.exe
Infected with: Trojan.Shutdown.N

C:\Documents and Settings\STEPHANIE\Bureau\SmitfraudFix.zip=>SmitfraudFix/restart.exe
Disinfection failed

C:\Documents and Settings\STEPHANIE\Bureau\SmitfraudFix.zip=>SmitfraudFix/restart.exe
Deleted

C:\Documents and Settings\STEPHANIE\Bureau\SmitfraudFix.zip
Updated

C:\Program Files\AxBx\PC Security Test 2006\files\spyware.txt
Detected with: Application.VTesttool.A

C:\Program Files\AxBx\PC Security Test 2006\files\spyware.txt
Deleted

C:\Program Files\AxBx\PC Security Test 2006\files\virus1.txt
Detected with: Application.VTesttool.B

C:\Program Files\AxBx\PC Security Test 2006\files\virus1.txt
Deleted

C:\Program Files\AxBx\PC Security Test 2006\files\virus3.txt
Detected with: Application.VTesttool.C

C:\Program Files\AxBx\PC Security Test 2006\files\virus3.txt
Deleted

C:\System Volume Information\_restore{6A561E39-E8CA-4DF5-93E7-FF5A39D28388}\RP103\A0039598.exe
Infected with: Trojan.Shutdown.N

C:\System Volume Information\_restore{6A561E39-E8CA-4DF5-93E7-FF5A39D28388}\RP103\A0039598.exe
Disinfection failed

C:\System Volume Information\_restore{6A561E39-E8CA-4DF5-93E7-FF5A39D28388}\RP103\A0039598.exe
Deleted

C:\System Volume Information\_restore{6A561E39-E8CA-4DF5-93E7-FF5A39D28388}\RP53\A0023509.rbf=>(CAB Sfx r)=>hh.exe
Infected with: Trojan.Patched.C

C:\System Volume Information\_restore{6A561E39-E8CA-4DF5-93E7-FF5A39D28388}\RP53\A0023509.rbf=>(CAB Sfx r)=>hh.exe
Disinfection failed

C:\System Volume Information\_restore{6A561E39-E8CA-4DF5-93E7-FF5A39D28388}\RP53\A0023509.rbf=>(CAB Sfx r)=>hh.exe
Deleted

C:\System Volume Information\_restore{6A561E39-E8CA-4DF5-93E7-FF5A39D28388}\RP53\A0023509.rbf=>(CAB Sfx r)

Update failed

Par contre, lors du scan HijackThis je n'ai pas trouvé cette ligne :

23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

J'avais bien pourtant fait cette manip auparavant : Arrête ce service

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Démarrer -> executer tape services.msc clic droit sur le service cité - > propriétés et dans "type de démarrage" et mets le sur « arrêté » et « désactivé ».

Ensuite j'ai bien supprimé Boonty.exe (je ne sais même pas ce que c'est comme fichier !). en mode sans echec.

J'ai bien lancé AVG, Ad Aware et Spyboot (mis a jour) qui n'ont rien décelé.

Et enfin j'ai nettoyer avec CCleaner et corriger les erreurs.

Alors voici le dernier log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 21:46:24, on 30/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\freeBrowser\vlc\vlc.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?75063bf70dd54a9fb8fa5245d588c2e2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?75063bf70dd54a9fb8fa5245d588c2e2
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115127468031
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Voila, faut il que je refasse un scan avec bitdefender voir s'il reste encore des virus et autres ?

Je pensait faire ce qu'il faut (peut être que je me trompe) j'ai Kerio comme firewall, Avast comme anti virus, AVG anti spyware, Ad Aware et Spybot, et j'utilisais déja, (depuis peu c vrai) CCleaner) et j'ai une mise a jour automatique de Windows (tout les jours) et enfin j'évite au maximum Internet Explorer. Par contre je n'avais encore jamais fait de scan en ligne (je pensais qu'Avast suffisait) ! Comme quoi !

Merci d'avance pour ton aide et tes conseils
A+

Réponse 11 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonsoir,

- il est normal que tu n'ais pas trouvé la ligne 023 : je t'ai fait arrêter le servic eet rebooter.

- supprime SmitfraudFix, bitdefender l'a abimé.

- désinstalle PC Security Test 2006 si tu le trouves par démarrer, panneau de configuration, ajout/suppression de programmes, PC security test 2006, supprimer. Si tu ne le trouve pas, va dans C:\Program Files\AxBx\PC Security Test 2006 ou C:\Program Files\AxBx\ et regarde si tu trouve un fichier uninstall. Si oui, double-clic pour lancer la désinstallation. Si rien de tout cela n'existe, supprimme le dossier C:\Program Files\AxBx\PC Security Test 2006 et relance ccleaner, erreurs, analyse puis réparer.

- la restauration système était infectée. On va prendre un point propre. Fais ce qui est demandé dans ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

- supprime navilog.zip et tous les fichiers que tu en as extrait.

- les autres, tu les conserves, tu les mets à jour et tu les fais passer régulièrement.

On se donne trois jours pour vérifier que tout va bien et mettre résolu sur ce post.

@+

steph5691 Messages postés 21 Statut Membre

Bonsoir,

J'ai bien supprimé SmitfraudFix, navilog.zip et désinstallé PC Security Test 2006. Puis j'ai relancé Ccleaner.

j'ai aussi désactivé/activé la restauration système.

J'éspère bien que tout est rentré dans l'ordre maintenant !

Faut il que je reposte un autre log HijakThis pour vérifier ?

Merci encore et à bientôt.

Réponse 12 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour,

désolé de ne pas avoir répondu plus tôt;

Pas de problèmes avec le dernier log HijackThis.

Tu fais un scan complet de tes disques durs :
-antivirus,
-avg antispy
- spybot
- ad aware
- Ccleaner nettoyage
- ccleaner erreurs.

AVg va te trouver des tracing cookies. vérifie qu'il les a supprimé.

Sinon, si tout est clean, tu peux mettre résolu.
@+

steph5691 Messages postés 21 Statut Membre

Bonsoir,

J'ai fait un scan complet avec avast
- avg antispy
- spybot
- ad aware
et j'ai passé CCleanner nettoyage et erreur.
Tout est clean, aucun fichier infecté.

Je pourrais crier victoire, car sur firefox pas de problème (c'est mon navigateur par défaut) donc je suis allée faire un petit tour du coté d'IE 7 pour vérifier si j'avais toujours ces pubs génantes : et oui ! (2 fenètres se sont ouvertes et un pop up ! au début de la connexion)
Donc pour moi la solution est simple : je n'utilise plus Internet Explorer !
Apparement mon PC propre maintenant, alors pourquoi ces fenetres s'affichent ? Du coup je ne sais pas si je peut mettre résolu sur ce post.
Par contre au bureau mon navigateur est IE 6 et je n'ai aucun problème ! (est ce donc spécifique à la version 7?)
Voila désolé pour le roman ! Encore une fois je te remercie beaucoup pour m'avoir accordé un peu (beaucoup) de ton temps pour me venir en aide.
Bonne soirée et bon Week end !

PS : Winantispyware s'est affiché après avoir validé ce post !

Réponse 13 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonsoir,

je déteste ça.

Il y a une nouvelle version, alors, ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
@+
-
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

steph5691 Messages postés 21 Statut Membre

Merci pour la réponse,

Voici le rapport :

SmitFraudFix v2.138

Rapport fait à 23:47:19,35, 02/02/2007
Executé à partir de C:\Documents and Settings\STEPHANIE\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\STEPHANIE

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\STEPHANIE\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\STEPHA~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Réponse 14 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour,

refais la procédure navifiix (post 1)

remets un log HijackThis.

@+

steph5691 Messages postés 21 Statut Membre

Bonjour,

J'ai refais la procédure navifiix :

Search Navipromo version 1.0.3 commencé le 03/02/2007 à 16:55:22,76

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\STEPHANIE\Bureau\navilog1
Mise a jour le 01.02.2007 a 21h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\STEPHANIE\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

c:\WINDOWS\system32\xuzbwvjyr.dat
c:\WINDOWS\system32\xuzbwvjyr.exe
c:\WINDOWS\system32\xuzbwvjyr_nav.dat
c:\WINDOWS\system32\xuzbwvjyr_navps.dat

*** Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

C:\WINDOWS\system32\xuzbwvjyr.dat

*** Analyse Terminé le 03/02/2007 à 17:00:06,45 ***

et le nouveau log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 17:03:46, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
C:\Program Files\freeBrowser\vlc\vlc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [xuzbwvjyr] c:\windows\system32\xuzbwvjyr.exe xuzbwvjyr
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?75063bf70dd54a9fb8fa5245d588c2e2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?75063bf70dd54a9fb8fa5245d588c2e2
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115127468031
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Merci de m'indiquer la marche à suivre pour la suite.
A+

Réponse 15 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Re,
Relance HijackThis. Choisi Open the misc tools section puis Open Uninstall manager puis Refresh list, puis savelist.

Copie/colle la liste dans ta prochaine réponse.

Télécharge la dernière version gratuite de Jv16 Power Tools ici :
http://telechargement.zebulon.fr/201-jv16-powertools.html

Installe le.

Double clique sur l'icône créée sur le bureau,

Clique sur outil registre.

Clique sur outil puis Chercheur de registre.

Ecris Lanconfig dans la fenêtre qui s'ouvre puis continuer;

Coche toutes les case de 'sélectionner les branches à analyser'.

Coche analyser le nom des clés, analyser le nom des valeurs et analyser les données des valeurs.

Clique sur démarrer.

Quand le scan est terminé, clique sur Fichier, Sauver la liste sous. Donne lui un nom (lanconfig par exemple) puis enregistrer.

Ouvre le fichier par le bloc-note et poste le dans ta réponse.
@+

steph5691 Messages postés 21 Statut Membre

J'ai bien relancé HijackThis. Choisi Open the misc tools section puis Open Uninstall manager puis Refresh list, puis savelist. J'ai copié/collé cette liste :

Ad-Aware SE Personal
Adobe Flash Player 9 ActiveX
Adobe Reader 7.0.8 - Français
adsl TV
Apple Software Update
Athlon 64 Processor Driver
ATI - Utilitaire de désinstallation du logiciel
ATI Control Panel
ATI Display Driver
avast! Antivirus
AVG Anti-Spyware 7.5
Blast Thru
Blast Thru Game
Canon Camera Access Library
Canon Camera Support Core Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
Canon G.726 WMP-Decoder
CANON iMAGE GATEWAY Task
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities EOS Utility
Canon Utilities PhotoStitch
Canon Utilities ZoomBrowser EX
CCleaner (remove only)
C-Media 3D Audio
Creatix V.92 Data Fax Modem
Détecteur de flux Windows Live Toolbar (Windows Live Toolbar)
eMule
Extension de Windows Live Toolbar (Windows Live Toolbar)
Extension HighMAT pour l'Assistant Graver un CD de Microsoft Windows XP
freeBrowser 0.9.0
Freeplayer
Generic USB CardReader 2.0
Google Earth
Google Toolbar for Firefox
Google Toolbar for Internet Explorer
HijackThis 1.99.1
HP Image Zone 4.2
HP PSC & OfficeJet 4.2
HP Software Update
Informations sur votre PC
J2SE Runtime Environment 5.0 Update 2
Language pack for Ad-Aware SE
Lecteur Windows Media 10
Macromedia Shockwave Player
Menus intelligents (Windows Live Toolbar)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB886903)
Microsoft .NET Framework 2.0
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mozilla Firefox (2.0.0.1)
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
Navigation par onglets (Windows Live Toolbar)
Nero Suite
overland
PowerCinema 4.0
PowerDVD
PowerProducer
QuickTime
Réussir son Code de la Route
Security Update for Microsoft .NET Framework 2.0 (KB922770)
Security Update pour Microsoft .NET Framework 2.0 (KB917283)
Spybot - Search & Destroy 1.4
Sunbelt Kerio Personal Firewall
TvFreePlayer Tools
Utilitaire de sauvegarde Windows
VideoLAN VLC media player 0.8.5-freehd
Visionneuse Journal Windows Microsoft
Windows Internet Explorer 7
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Live Toolbar
Windows Live Toolbar
Windows Media Connect
Windows Media Connect
Windows Media Format Runtime
X10 Hardware(TM)

Ensuite j'ai téléchargé Jv16 Power Tools (c'est en anglais, je suis loin d'être bilingue mais je m'en suis pas trop mal sortie!)
donc voici le résultat du scan :

jv16 PowerTools 1.3 - Registry Finder
[ Root, Key, Entry, Value, Last modified ]

HKEY_USERS, S-1-5-21-15991100-1928906292-492790375-1007\Software\LanConfig, {KEY}, {KEY}, 28.01.2007, 13:53, S-1-5-21-15991100-1928906292-492790375-1007\Software\LanConfig
HKEY_CURRENT_USER, Software\LanConfig, {KEY}, {KEY}, 28.01.2007, 13:53, Software\LanConfig

J'attends la suite de tes instructions car j'éspère être débarassée rapidement de ce satané problème !

Merci encore
a+

Réponse 16 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Re,
Télécharge lopxp :
http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

dezippe le (clic droit dessus > extraire tout)
et lance lopxpmh.bat en double-cliquant dessus
quand il à terminé, un rapport s'ouvre , copie et colle le contenu dans ta réponse.

@+

steph5691 Messages postés 21 Statut Membre

J'ai télécharge lopxp : quand la fenêtre noire s'ouvre il est marqué "le fichier spécifié est introuvable,
erreur :le système n'a pas pu trouvé la clé ou la valeur registre spécifiée
erreur : trop de paramètres de lignes de commande"
Je ne sais pas si c'est normal ou non !

Bon je te poste le rapport :

Rapport fait à 21:48:44,46 le 03/02/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\All Users\Application Data

03/05/2005 19:23 <REP> .
03/05/2005 19:23 <REP> ..
19/11/2006 10:10 <REP> 4D
26/11/2006 18:06 <REP> Adobe
03/05/2005 14:10 <REP> Ahead
02/12/2006 17:21 <REP> Apple Computer
01/11/2006 14:01 <REP> BOONTY
24/05/2005 13:07 <REP> CyberLink
28/10/2006 09:22 <REP> Google
19/08/2005 08:51 <REP> Hewlett-Packard
03/05/2005 19:23 <REP> Microsoft
03/05/2005 14:01 <REP> SBSI
14/11/2006 23:46 <REP> Spybot - Search & Destroy
25/10/2006 19:11 <REP> Trend Micro
02/12/2006 17:49 <REP> Windows Genuine Advantage
02/11/2006 08:14 <REP> Windows Live Toolbar
03/05/2005 19:23 62 desktop.ini
19/08/2005 08:40 1ÿ280 hpzinstall.log
2 fichier(s) 1ÿ342 octets
16 R‚p(s) 48ÿ254ÿ332ÿ928 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\Default User\Application Data

03/05/2005 19:23 <REP> .
03/05/2005 19:23 <REP> ..
18/08/2005 19:31 <REP> Adobe
18/08/2005 19:31 <REP> CyberLink
03/05/2005 17:31 <REP> Identities
18/08/2005 19:31 <REP> Macromedia
03/05/2005 19:23 <REP> Microsoft
18/08/2005 19:31 <REP> Sun
03/05/2005 19:23 62 desktop.ini
1 fichier(s) 62 octets
8 R‚p(s) 48ÿ254ÿ332ÿ928 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

03/05/2005 19:23 <REP> .
03/05/2005 19:23 <REP> ..
18/08/2005 19:31 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
18/08/2005 19:31 <REP> Adobe
18/08/2005 19:31 <REP> ApplicationHistory
03/05/2005 17:30 <REP> Microsoft
18/08/2005 19:31 <REP> Powercinema
18/08/2005 19:31 <REP> WMTools Downloaded Files
18/08/2005 19:31 135 fusioncache.dat
18/08/2005 19:31 13ÿ104 GDIPFONTCACHEV1.DAT
18/08/2005 19:31 4ÿ820ÿ204 IconCache.db
3 fichier(s) 4ÿ833ÿ443 octets
8 R‚p(s) 48ÿ254ÿ332ÿ928 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\HAKIM\Application Data

19/08/2005 15:41 <REP> .
19/08/2005 15:41 <REP> ..
19/08/2005 15:41 <REP> Adobe
19/08/2005 15:41 <REP> CyberLink
19/08/2005 15:41 <REP> Identities
19/08/2005 15:41 <REP> Macromedia
19/08/2005 15:41 <REP> Microsoft
19/08/2005 15:41 <REP> Sun
19/08/2005 15:41 62 desktop.ini
1 fichier(s) 62 octets
8 R‚p(s) 48ÿ254ÿ332ÿ928 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\HAKIM\Local Settings\Application Data

19/08/2005 15:41 <REP> .
19/08/2005 15:41 <REP> ..
19/08/2005 15:41 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
19/08/2005 15:41 <REP> Adobe
19/08/2005 15:41 <REP> ApplicationHistory
19/08/2005 15:41 <REP> HP
19/08/2005 15:41 <REP> IsolatedStorage
19/08/2005 15:41 <REP> Microsoft
19/08/2005 15:41 <REP> Powercinema
19/08/2005 15:41 <REP> WMTools Downloaded Files
19/08/2005 15:41 128 fusioncache.dat
19/08/2005 15:41 46ÿ008 GDIPFONTCACHEV1.DAT
19/08/2005 15:41 3ÿ712ÿ656 IconCache.db
3 fichier(s) 3ÿ758ÿ792 octets
10 R‚p(s) 48ÿ254ÿ328ÿ832 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\LILA\Application Data

19/08/2005 09:15 <REP> .
19/08/2005 09:15 <REP> ..
19/08/2005 09:15 <REP> Adobe
21/10/2006 14:29 <REP> AdobeUM
02/04/2006 12:07 <REP> Ahead
19/08/2005 09:15 <REP> CyberLink
28/10/2006 09:56 <REP> Google
19/08/2005 09:15 <REP> Identities
19/08/2005 09:15 <REP> Macromedia
19/08/2005 09:15 <REP> Microsoft
26/10/2006 21:44 <REP> Mozilla
19/08/2005 09:15 <REP> Sun
28/10/2006 22:01 <REP> vlc
19/08/2005 09:15 62 desktop.ini
1 fichier(s) 62 octets
13 R‚p(s) 48ÿ254ÿ328ÿ832 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\LILA\Local Settings\Application Data

19/08/2005 09:15 <REP> .
19/08/2005 09:15 <REP> ..
19/08/2005 09:15 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
19/08/2005 09:15 <REP> Adobe
19/08/2005 09:15 <REP> ApplicationHistory
28/10/2006 09:56 <REP> Google
19/08/2005 09:15 <REP> HP
19/08/2005 09:15 <REP> IsolatedStorage
19/08/2005 09:15 <REP> Microsoft
26/10/2006 21:44 <REP> Mozilla
19/08/2005 09:15 <REP> Powercinema
19/08/2005 09:15 <REP> WMTools Downloaded Files
04/03/2006 18:57 16ÿ896 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
19/08/2005 09:15 127 fusioncache.dat
19/08/2005 09:15 46ÿ008 GDIPFONTCACHEV1.DAT
19/08/2005 09:15 6ÿ402ÿ664 IconCache.db
4 fichier(s) 6ÿ465ÿ695 octets
12 R‚p(s) 48ÿ254ÿ328ÿ832 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

03/05/2005 17:33 <REP> .
03/05/2005 17:33 <REP> ..
03/05/2005 17:33 <REP> Microsoft
03/05/2005 14:15 <REP> X10 Commander
0 fichier(s) 0 octets
4 R‚p(s) 48ÿ254ÿ328ÿ832 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

03/05/2005 17:33 <REP> .
03/05/2005 17:33 <REP> ..
03/05/2005 17:33 <REP> Microsoft
23/08/2005 08:15 <REP> Powercinema
0 fichier(s) 0 octets
4 R‚p(s) 48ÿ254ÿ328ÿ832 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

03/05/2005 17:33 <REP> .
03/05/2005 17:33 <REP> ..
03/05/2005 17:33 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 48ÿ254ÿ328ÿ832 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

03/05/2005 17:33 <REP> .
03/05/2005 17:33 <REP> ..
31/10/2006 23:55 <REP> ApplicationHistory
03/05/2005 17:33 <REP> Microsoft
31/10/2006 23:55 137 fusioncache.dat
1 fichier(s) 137 octets
4 R‚p(s) 48ÿ254ÿ324ÿ736 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\STEPHANIE\Application Data

18/08/2005 19:33 <REP> .
18/08/2005 19:33 <REP> ..
18/08/2005 19:33 <REP> Adobe
21/08/2005 10:09 <REP> AdobeUM
02/04/2006 09:55 <REP> Ahead
02/12/2006 17:25 <REP> Apple Computer
18/08/2005 19:33 <REP> CyberLink
29/10/2006 11:32 <REP> dvdcss
29/10/2006 08:23 <REP> Google
25/11/2006 08:49 <REP> Help
18/08/2005 19:33 <REP> Identities
11/11/2006 14:27 <REP> Lavasoft
18/08/2005 19:33 <REP> Macromedia
18/08/2005 19:33 <REP> Microsoft
29/10/2006 08:33 <REP> Mozilla
02/11/2006 08:22 <REP> MSNInstaller
11/11/2006 18:12 <REP> Real
13/01/2007 11:23 <REP> Snapfish
18/08/2005 19:33 <REP> Sun
25/01/2007 23:00 <REP> Tor
04/11/2006 11:25 <REP> vlc
02/11/2006 08:16 <REP> Windows Desktop Search
18/08/2005 19:33 62 desktop.ini
1 fichier(s) 62 octets
22 R‚p(s) 48ÿ254ÿ324ÿ736 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\STEPHANIE\Local Settings\Application Data

18/08/2005 19:33 <REP> .
18/08/2005 19:33 <REP> ..
18/08/2005 19:33 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
18/08/2005 19:33 <REP> Adobe
02/12/2006 17:25 <REP> Apple Computer
18/08/2005 19:33 <REP> ApplicationHistory
29/10/2006 08:23 <REP> Google
25/11/2006 08:49 <REP> Help
19/08/2005 16:16 <REP> HP
19/08/2005 16:16 <REP> IsolatedStorage
18/08/2005 19:33 <REP> Microsoft
29/10/2006 08:33 <REP> Mozilla
18/08/2005 19:33 <REP> Powercinema
18/08/2005 19:33 <REP> WMTools Downloaded Files
31/12/2005 22:43 80ÿ384 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
18/08/2005 19:33 132 fusioncache.dat
18/08/2005 19:33 46ÿ008 GDIPFONTCACHEV1.DAT
23/11/2006 19:08 4ÿ323ÿ552 IconCache.db
4 fichier(s) 4ÿ450ÿ076 octets
14 R‚p(s) 48ÿ254ÿ324ÿ736 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

03/05/2005 17:32 <REP> .
03/05/2005 17:32 <REP> ..
18/08/2005 19:31 <REP> Adobe
18/08/2005 19:31 <REP> CyberLink
03/05/2005 17:32 <REP> Identities
18/08/2005 19:31 <REP> Macromedia
03/05/2005 17:32 <REP> Microsoft
18/08/2005 19:31 <REP> Sun
03/05/2005 17:32 62 desktop.ini
1 fichier(s) 62 octets
8 R‚p(s) 48ÿ254ÿ324ÿ736 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

03/05/2005 17:32 <REP> .
03/05/2005 17:32 <REP> ..
18/08/2005 19:31 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
18/08/2005 19:31 <REP> Adobe
18/08/2005 19:31 <REP> ApplicationHistory
03/05/2005 17:32 <REP> Microsoft
18/08/2005 19:31 <REP> Powercinema
18/08/2005 19:31 <REP> WMTools Downloaded Files
18/08/2005 19:31 135 fusioncache.dat
18/08/2005 19:31 13ÿ104 GDIPFONTCACHEV1.DAT
18/08/2005 19:31 4ÿ820ÿ204 IconCache.db
3 fichier(s) 4ÿ833ÿ443 octets
8 R‚p(s) 48ÿ254ÿ324ÿ736 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\WINDOWS\Tasks

02/12/2006 17:23 284 AppleSoftwareUpdate.job
07/11/2006 07:22 256 V‚rifier les mises … jour de Windows Live Toolbar.job
04/05/2005 02:08 65 desktop.ini
03/05/2005 17:33 6 SA.DAT
03/05/2005 17:29 <REP> ..
03/05/2005 17:29 <REP> .
4 fichier(s) 611 octets
2 R‚p(s) 48ÿ254ÿ320ÿ640 octets libres

******************************************
## Répertoires de Program files

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Program Files

03/02/2007 20:22 <REP> .
03/02/2007 20:22 <REP> ..
03/05/2005 13:37 <REP> Adobe
01/02/2007 20:25 <REP> adslTV
03/05/2005 14:12 <REP> Ahead
23/11/2006 19:06 <REP> Alwil Software
03/05/2005 13:04 <REP> AMD
02/12/2006 17:23 <REP> Apple Software Update
03/05/2005 13:16 <REP> ATI Technologies
11/11/2006 18:32 <REP> CA
26/03/2006 10:48 <REP> Canon
27/01/2007 21:02 <REP> CCleaner
03/05/2005 13:15 <REP> C-Media 3D Audio
03/05/2005 13:37 <REP> Common Files
03/05/2005 17:29 <REP> ComPlus Applications
24/05/2005 12:58 <REP> CyberLink
16/10/2005 17:23 <REP> eGames
02/02/2007 05:52 <REP> eMule
28/01/2007 10:50 <REP> Enigma Software Group
29/01/2007 22:18 <REP> Fichiers communs
21/10/2006 13:40 <REP> Free
19/11/2006 21:49 <REP> freeBrowser
19/11/2006 21:56 <REP> Freeplayer
02/02/2007 18:14 <REP> Google
27/01/2007 19:42 <REP> Grisoft
19/08/2005 08:51 <REP> Hewlett-Packard
03/05/2005 15:25 <REP> HighMAT CD Writing Wizard
24/05/2005 13:07 <REP> Home Cinema
24/11/2006 20:27 <REP> HP
02/12/2006 17:59 <REP> Internet Explorer
03/05/2005 13:52 <REP> Java
03/02/2007 20:23 <REP> jv16 PowerTools
23/11/2006 21:23 <REP> Lavasoft
03/05/2005 13:09 <REP> Medion Tools
03/05/2005 15:29 <REP> Messenger
11/12/2005 10:01 <REP> Micro Application
03/05/2005 17:31 <REP> microsoft frontpage
25/08/2005 17:56 <REP> Microsoft Office
25/08/2005 17:56 <REP> Microsoft Visual Studio
25/08/2005 17:55 <REP> Microsoft.NET
03/05/2005 17:29 <REP> Movie Maker
03/02/2007 18:36 <REP> Mozilla Firefox
02/11/2006 08:22 <REP> MSN
03/05/2005 17:28 <REP> MSN Gaming Zone
19/11/2006 21:56 <REP> MSN Messenger
02/11/2006 23:11 <REP> MSXML 4.0
28/01/2007 10:45 <REP> Musicmatch
03/05/2005 17:29 <REP> NetMeeting
03/05/2005 14:39 <REP> OfficeUpdate11
14/12/2006 21:10 <REP> Outlook Express
24/11/2006 20:28 <REP> Overland
02/12/2006 17:24 <REP> QuickTime
03/05/2005 17:29 <REP> Services en ligne
20/01/2007 18:38 <REP> Spybot - Search & Destroy
23/11/2006 21:31 <REP> Sunbelt Software
19/11/2006 21:54 <REP> TFPTools
25/10/2006 19:11 <REP> Trend Micro
12/11/2006 16:53 <REP> VideoLAN
02/11/2006 08:15 <REP> Windows Desktop Search
03/05/2005 17:37 <REP> Windows Journal Viewer
07/11/2006 07:22 <REP> Windows Live Toolbar
03/05/2005 15:28 <REP> Windows Media Connect
25/10/2006 19:48 <REP> Windows Media Player
03/05/2005 17:28 <REP> Windows NT
24/05/2005 13:07 <REP> X10 Hardware
03/05/2005 17:31 <REP> xerox
29/01/2007 21:53 <REP> Yahoo!
0 fichier(s) 0 octets
67 R‚p(s) 48ÿ254ÿ316ÿ544 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

Rapport fait à 21:49:59,15 le 03/02/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\All Users\Application Data

03/05/2005 19:23 <REP> .
03/05/2005 19:23 <REP> ..
19/11/2006 10:10 <REP> 4D
26/11/2006 18:06 <REP> Adobe
03/05/2005 14:10 <REP> Ahead
02/12/2006 17:21 <REP> Apple Computer
01/11/2006 14:01 <REP> BOONTY
24/05/2005 13:07 <REP> CyberLink
28/10/2006 09:22 <REP> Google
19/08/2005 08:51 <REP> Hewlett-Packard
03/05/2005 19:23 <REP> Microsoft
03/05/2005 14:01 <REP> SBSI
14/11/2006 23:46 <REP> Spybot - Search & Destroy
25/10/2006 19:11 <REP> Trend Micro
02/12/2006 17:49 <REP> Windows Genuine Advantage
02/11/2006 08:14 <REP> Windows Live Toolbar
03/05/2005 19:23 62 desktop.ini
19/08/2005 08:40 1ÿ280 hpzinstall.log
2 fichier(s) 1ÿ342 octets
16 R‚p(s) 48ÿ254ÿ316ÿ544 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\Default User\Application Data

03/05/2005 19:23 <REP> .
03/05/2005 19:23 <REP> ..
18/08/2005 19:31 <REP> Adobe
18/08/2005 19:31 <REP> CyberLink
03/05/2005 17:31 <REP> Identities
18/08/2005 19:31 <REP> Macromedia
03/05/2005 19:23 <REP> Microsoft
18/08/2005 19:31 <REP> Sun
03/05/2005 19:23 62 desktop.ini
1 fichier(s) 62 octets
8 R‚p(s) 48ÿ254ÿ316ÿ544 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

03/05/2005 19:23 <REP> .
03/05/2005 19:23 <REP> ..
18/08/2005 19:31 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
18/08/2005 19:31 <REP> Adobe
18/08/2005 19:31 <REP> ApplicationHistory
03/05/2005 17:30 <REP> Microsoft
18/08/2005 19:31 <REP> Powercinema
18/08/2005 19:31 <REP> WMTools Downloaded Files
18/08/2005 19:31 135 fusioncache.dat
18/08/2005 19:31 13ÿ104 GDIPFONTCACHEV1.DAT
18/08/2005 19:31 4ÿ820ÿ204 IconCache.db
3 fichier(s) 4ÿ833ÿ443 octets
8 R‚p(s) 48ÿ254ÿ316ÿ544 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\HAKIM\Application Data

19/08/2005 15:41 <REP> .
19/08/2005 15:41 <REP> ..
19/08/2005 15:41 <REP> Adobe
19/08/2005 15:41 <REP> CyberLink
19/08/2005 15:41 <REP> Identities
19/08/2005 15:41 <REP> Macromedia
19/08/2005 15:41 <REP> Microsoft
19/08/2005 15:41 <REP> Sun
19/08/2005 15:41 62 desktop.ini
1 fichier(s) 62 octets
8 R‚p(s) 48ÿ254ÿ316ÿ544 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\HAKIM\Local Settings\Application Data

19/08/2005 15:41 <REP> .
19/08/2005 15:41 <REP> ..
19/08/2005 15:41 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
19/08/2005 15:41 <REP> Adobe
19/08/2005 15:41 <REP> ApplicationHistory
19/08/2005 15:41 <REP> HP
19/08/2005 15:41 <REP> IsolatedStorage
19/08/2005 15:41 <REP> Microsoft
19/08/2005 15:41 <REP> Powercinema
19/08/2005 15:41 <REP> WMTools Downloaded Files
19/08/2005 15:41 128 fusioncache.dat
19/08/2005 15:41 46ÿ008 GDIPFONTCACHEV1.DAT
19/08/2005 15:41 3ÿ712ÿ656 IconCache.db
3 fichier(s) 3ÿ758ÿ792 octets
10 R‚p(s) 48ÿ254ÿ312ÿ448 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\LILA\Application Data

19/08/2005 09:15 <REP> .
19/08/2005 09:15 <REP> ..
19/08/2005 09:15 <REP> Adobe
21/10/2006 14:29 <REP> AdobeUM
02/04/2006 12:07 <REP> Ahead
19/08/2005 09:15 <REP> CyberLink
28/10/2006 09:56 <REP> Google
19/08/2005 09:15 <REP> Identities
19/08/2005 09:15 <REP> Macromedia
19/08/2005 09:15 <REP> Microsoft
26/10/2006 21:44 <REP> Mozilla
19/08/2005 09:15 <REP> Sun
28/10/2006 22:01 <REP> vlc
19/08/2005 09:15 62 desktop.ini
1 fichier(s) 62 octets
13 R‚p(s) 48ÿ254ÿ312ÿ448 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\LILA\Local Settings\Application Data

19/08/2005 09:15 <REP> .
19/08/2005 09:15 <REP> ..
19/08/2005 09:15 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
19/08/2005 09:15 <REP> Adobe
19/08/2005 09:15 <REP> ApplicationHistory
28/10/2006 09:56 <REP> Google
19/08/2005 09:15 <REP> HP
19/08/2005 09:15 <REP> IsolatedStorage
19/08/2005 09:15 <REP> Microsoft
26/10/2006 21:44 <REP> Mozilla
19/08/2005 09:15 <REP> Powercinema
19/08/2005 09:15 <REP> WMTools Downloaded Files
04/03/2006 18:57 16ÿ896 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
19/08/2005 09:15 127 fusioncache.dat
19/08/2005 09:15 46ÿ008 GDIPFONTCACHEV1.DAT
19/08/2005 09:15 6ÿ402ÿ664 IconCache.db
4 fichier(s) 6ÿ465ÿ695 octets
12 R‚p(s) 48ÿ254ÿ312ÿ448 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

03/05/2005 17:33 <REP> .
03/05/2005 17:33 <REP> ..
03/05/2005 17:33 <REP> Microsoft
03/05/2005 14:15 <REP> X10 Commander
0 fichier(s) 0 octets
4 R‚p(s) 48ÿ254ÿ312ÿ448 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

03/05/2005 17:33 <REP> .
03/05/2005 17:33 <REP> ..
03/05/2005 17:33 <REP> Microsoft
23/08/2005 08:15 <REP> Powercinema
0 fichier(s) 0 octets
4 R‚p(s) 48ÿ254ÿ312ÿ448 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

03/05/2005 17:33 <REP> .
03/05/2005 17:33 <REP> ..
03/05/2005 17:33 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 48ÿ254ÿ308ÿ352 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

03/05/2005 17:33 <REP> .
03/05/2005 17:33 <REP> ..
31/10/2006 23:55 <REP> ApplicationHistory
03/05/2005 17:33 <REP> Microsoft
31/10/2006 23:55 137 fusioncache.dat
1 fichier(s) 137 octets
4 R‚p(s) 48ÿ254ÿ308ÿ352 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\STEPHANIE\Application Data

18/08/2005 19:33 <REP> .
18/08/2005 19:33 <REP> ..
18/08/2005 19:33 <REP> Adobe
21/08/2005 10:09 <REP> AdobeUM
02/04/2006 09:55 <REP> Ahead
02/12/2006 17:25 <REP> Apple Computer
18/08/2005 19:33 <REP> CyberLink
29/10/2006 11:32 <REP> dvdcss
29/10/2006 08:23 <REP> Google
25/11/2006 08:49 <REP> Help
18/08/2005 19:33 <REP> Identities
11/11/2006 14:27 <REP> Lavasoft
18/08/2005 19:33 <REP> Macromedia
18/08/2005 19:33 <REP> Microsoft
29/10/2006 08:33 <REP> Mozilla
02/11/2006 08:22 <REP> MSNInstaller
11/11/2006 18:12 <REP> Real
13/01/2007 11:23 <REP> Snapfish
18/08/2005 19:33 <REP> Sun
25/01/2007 23:00 <REP> Tor
04/11/2006 11:25 <REP> vlc
02/11/2006 08:16 <REP> Windows Desktop Search
18/08/2005 19:33 62 desktop.ini
1 fichier(s) 62 octets
22 R‚p(s) 48ÿ254ÿ308ÿ352 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Documents and Settings\STEPHANIE\Local Settings\Application Data

18/08/2005 19:33 <REP> .
18/08/2005 19:33 <REP> ..
18/08/2005 19:33 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
18/08/2005 19:33 <REP> Adobe
02/12/2006 17:25 <REP> Apple Computer
18/08/2005 19:33 <REP> ApplicationHistory
29/10/2006 08:23 <REP> Google
25/11/2006 08:49 <REP> Help
19/08/2005 16:16 <REP> HP
19/08/2005 16:16 <REP> IsolatedStorage
18/08/2005 19:33 <REP> Microsoft
29/10/2006 08:33 <REP> Mozilla
18/08/2005 19:33 <REP> Powercinema
18/08/2005 19:33 <REP> WMTools Downloaded Files
31/12/2005 22:43 80ÿ384 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
18/08/2005 19:33 132 fusioncache.dat
18/08/2005 19:33 46ÿ008 GDIPFONTCACHEV1.DAT
23/11/2006 19:08 4ÿ323ÿ552 IconCache.db
4 fichier(s) 4ÿ450ÿ076 octets
14 R‚p(s) 48ÿ254ÿ308ÿ352 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

03/05/2005 17:32 <REP> .
03/05/2005 17:32 <REP> ..
18/08/2005 19:31 <REP> Adobe
18/08/2005 19:31 <REP> CyberLink
03/05/2005 17:32 <REP> Identities
18/08/2005 19:31 <REP> Macromedia
03/05/2005 17:32 <REP> Microsoft
18/08/2005 19:31 <REP> Sun
03/05/2005 17:32 62 desktop.ini
1 fichier(s) 62 octets
8 R‚p(s) 48ÿ254ÿ308ÿ352 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

03/05/2005 17:32 <REP> .
03/05/2005 17:32 <REP> ..
18/08/2005 19:31 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
18/08/2005 19:31 <REP> Adobe
18/08/2005 19:31 <REP> ApplicationHistory
03/05/2005 17:32 <REP> Microsoft
18/08/2005 19:31 <REP> Powercinema
18/08/2005 19:31 <REP> WMTools Downloaded Files
18/08/2005 19:31 135 fusioncache.dat
18/08/2005 19:31 13ÿ104 GDIPFONTCACHEV1.DAT
18/08/2005 19:31 4ÿ820ÿ204 IconCache.db
3 fichier(s) 4ÿ833ÿ443 octets
8 R‚p(s) 48ÿ254ÿ304ÿ256 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\WINDOWS\Tasks

02/12/2006 17:23 284 AppleSoftwareUpdate.job
07/11/2006 07:22 256 V‚rifier les mises … jour de Windows Live Toolbar.job
04/05/2005 02:08 65 desktop.ini
03/05/2005 17:33 6 SA.DAT
03/05/2005 17:29 <REP> ..
03/05/2005 17:29 <REP> .
4 fichier(s) 611 octets
2 R‚p(s) 48ÿ254ÿ304ÿ256 octets libres

******************************************
## Répertoires de Program files

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\Program Files

03/02/2007 20:22 <REP> .
03/02/2007 20:22 <REP> ..
03/05/2005 13:37 <REP> Adobe
01/02/2007 20:25 <REP> adslTV
03/05/2005 14:12 <REP> Ahead
23/11/2006 19:06 <REP> Alwil Software
03/05/2005 13:04 <REP> AMD
02/12/2006 17:23 <REP> Apple Software Update
03/05/2005 13:16 <REP> ATI Technologies
11/11/2006 18:32 <REP> CA
26/03/2006 10:48 <REP> Canon
27/01/2007 21:02 <REP> CCleaner
03/05/2005 13:15 <REP> C-Media 3D Audio
03/05/2005 13:37 <REP> Common Files
03/05/2005 17:29 <REP> ComPlus Applications
24/05/2005 12:58 <REP> CyberLink
16/10/2005 17:23 <REP> eGames
02/02/2007 05:52 <REP> eMule
28/01/2007 10:50 <REP> Enigma Software Group
29/01/2007 22:18 <REP> Fichiers communs
21/10/2006 13:40 <REP> Free
19/11/2006 21:49 <REP> freeBrowser
19/11/2006 21:56 <REP> Freeplayer
02/02/2007 18:14 <REP> Google
27/01/2007 19:42 <REP> Grisoft
19/08/2005 08:51 <REP> Hewlett-Packard
03/05/2005 15:25 <REP> HighMAT CD Writing Wizard
24/05/2005 13:07 <REP> Home Cinema
24/11/2006 20:27 <REP> HP
02/12/2006 17:59 <REP> Internet Explorer
03/05/2005 13:52 <REP> Java
03/02/2007 20:23 <REP> jv16 PowerTools
23/11/2006 21:23 <REP> Lavasoft
03/05/2005 13:09 <REP> Medion Tools
03/05/2005 15:29 <REP> Messenger
11/12/2005 10:01 <REP> Micro Application
03/05/2005 17:31 <REP> microsoft frontpage
25/08/2005 17:56 <REP> Microsoft Office
25/08/2005 17:56 <REP> Microsoft Visual Studio
25/08/2005 17:55 <REP> Microsoft.NET
03/05/2005 17:29 <REP> Movie Maker
03/02/2007 18:36 <REP> Mozilla Firefox
02/11/2006 08:22 <REP> MSN
03/05/2005 17:28 <REP> MSN Gaming Zone
19/11/2006 21:56 <REP> MSN Messenger
02/11/2006 23:11 <REP> MSXML 4.0
28/01/2007 10:45 <REP> Musicmatch
03/05/2005 17:29 <REP> NetMeeting
03/05/2005 14:39 <REP> OfficeUpdate11
14/12/2006 21:10 <REP> Outlook Express
24/11/2006 20:28 <REP> Overland
02/12/2006 17:24 <REP> QuickTime
03/05/2005 17:29 <REP> Services en ligne
20/01/2007 18:38 <REP> Spybot - Search & Destroy
23/11/2006 21:31 <REP> Sunbelt Software
19/11/2006 21:54 <REP> TFPTools
25/10/2006 19:11 <REP> Trend Micro
12/11/2006 16:53 <REP> VideoLAN
02/11/2006 08:15 <REP> Windows Desktop Search
03/05/2005 17:37 <REP> Windows Journal Viewer
07/11/2006 07:22 <REP> Windows Live Toolbar
03/05/2005 15:28 <REP> Windows Media Connect
25/10/2006 19:48 <REP> Windows Media Player
03/05/2005 17:28 <REP> Windows NT
24/05/2005 13:07 <REP> X10 Hardware
03/05/2005 17:31 <REP> xerox
29/01/2007 21:53 <REP> Yahoo!
0 fichier(s) 0 octets
67 R‚p(s) 48ÿ254ÿ300ÿ160 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\WINDOWS

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est DC52-9F68

R‚pertoire de C:\WINDOWS

*************** Fin du rapport ****************

Quel est le problème, d'après toi ? je t'avoue que je n'y comprend pas grand chose. Je te fait entièrement confiance mais j'aimerais bien avoir quelques explications. Merci.
a+

a oui j'oubliais : je n'ai plus les petites icones à coté de l'horloge en bas à droite : celle de kerio et avast ! donc je ne sais pas si l'antivirus et le firewall est toujours actifs et pourquoi elles ont disparues !

Réponse 17 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Re,

Je vais essayer de te répondre.

Tun as une infection Drive Cleaner /Navipromo que l'on voit très bien avec Navifix.
J'ai un peu vasouillé avec cet outil, ne prenant pas la bonne eoption d'éradication, pui me posant des questions sur le fichier .dat associé.
J'ai négligé l'information sur la clé avec Lanconfig.

Ce Lanconfig fait repartir l'infection. J'ai donc à la fois revu les paramètres de Drive Cleaner/Navipromo, mais je cherche tout ce qui peut 'trainer' qui aille avec. J'ai cherché les clés de registre contenant Lancobfig (Navifix n'en décèle qu'une). Je cherche si l'application Drive Cleaner était présente et désinstallable (via HijackThis) et, à défaut, si elle est encore dans les répertoires (Lopxp est efficace pour ça).

Ce que je cherche est d'une part à identifier la totalité des manipulations à effectuer pour être sur de tout éradiquer, d'autre part l'ordre des opérations parce qu'elle a son importance.

Pour te rassurer, je peux à tout moment faire appel aux autres helpeurs, dont certains ont plus de métier que moi.

@+

steph5691 Messages postés 21 Statut Membre

Merci pour l'explication, même si tout n'est pas très clair pour une néophyte comme moi !
Alors que faut il faire maintenant pour se débarasser de cette infection?
J'attends tes consignes pour la suite.
A+

Réponse 18 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Re,

je viens de voir en retard pour Avast et Kerio.

Sue le log HijackThis de 17 h, ils étaient actifs.

Tu peux refaire un log et regarder les 023. Tu dois trouver les services d'Avast et ceux de Kerio.
@+

steph5691 Messages postés 21 Statut Membre

j'ai refait le log HijackThis : je retrouve bien kerio et avast sur les lignes 023 donc ils sont toujours actifs. J'avais quand même vérifé dans panneau de config/ centre de sécurité. Je pense que j'aurais eu un message d'alerte dans le cas contraire. Par contre, j'aimerais savoir comment faire pour qu'elles reviennent moi mes petites icones !
merci a+

Réponse 19 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Re,

Va là :
http://www.billsway.com/vbspage/

Clique sur Registry Search Tool
Clique sur l'image du disque dur en bas à droite de la fenêtre qui s'est ouverte.
Clique sur enregistrer et choisis le bureau.

Sur le bureau, clic droit , ouvrir avec, choisir dossiers compressés, extraire tous les fichiers et suivre les instructions.

Tu vas dans le répertoire et tu exécutes RegSerch.vbs.

Tu écris Lanconfig quand il te demande un texte et OK. Tu attends (ça peut être un peu long et rien ne montre que l'outil travaille). A la fin, il te propose de voir les lignes trouvées. Tu fais OK, le bloc-note s'ouvre. Sauve le fichier (sous le nom lanconfig par exemple) et tu postes le contenu dans ta réponse.

Tu fais la même chose avec Magic Control Agent
@+

steph5691 Messages postés 21 Statut Membre

Bonjour,

Voici les lignes trouvées quand j'ai tapé langconfig :

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "lanconfig" 04/02/2007 08:45:11

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_USERS\S-1-5-21-15991100-1928906292-492790375-1007\Software\LanConfig]

Par contre quand tu me demande de faire la même chose avec Magic Control Agent qu'est ce que ca veut dire ?

Je tape Magic Control Agent au lieu de langconfig ? je l'ai fait il n'a rien trouvé.

ou je le trouve quelque part ? Si tu pouvait me dire ou ? merci.

En ce qui concerne les icones avast et kerio et bien elle sont revenues ce matin en redemarrant tout simplement !

a+

Réponse 20 / 23

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour,

OK pour les icônes, cela me le fait avec Antivir sur un de mes ordis.

Pour Mazgic Control Agent, cela veut dire qu'il n'y est pas (si tant est qu'il ait été un jour). Pas de problèmes, mais je voulais vérifier.

Une partie de la manip est en mode sans échec. Imprime là avant.

On va intervenir dans le registre, et donc commencer par le sauvegarder.

1) Démarrer, exécuter,regedit, OK.

Fichier, exporter.

Dans l'étendue (en bas à gauche), coche la cas "tout".

Donne un nom au fichier et conserve le nom du fichier et celui du répertoire où il est. Clique sur enregistrer. Ferme Regedit.

2) Ouvre le bloc note et copie/colle le texte entre les étoiles (sans les étoiles)
**********
REGEDIT4

[-HKEY_USERS\S-1-5-21-15991100-1928906292-492790375-1007\Software\LanConfig]

[-HKEY_CURRENT_USER\Software\LanConfig]

************
enregistre le sur ton bureau et nomme le Lanconfig.reg
et dans la case en dessous (type) met sur "tous fichiers"

3) Ouvre HijackThis, choisis do a scan only.

Coche la case devant la ligne
O4 - HKLM\..\Run: [xuzbwvjyr] c:\windows\system32\xuzbwvjyr.exe xuzbwvjyr

Ferme toutes les fenêtres actives et clique sur Fix checked. Ferme HijackThis.

4) Redémarres en mode sans échec sur ta session habituelle.

5) Double clic sur le fichier Lanconfig.reg et accepte la fusion avec le registre.

6) Double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 4 et valides.
Ton bureau va disparaitre, c'est normal.
Il va te demander de saisir le nom de fichier, saisis ce qui est en gras ci-dessous et rien d'autre puis valide:

xuzbwvjyr

le fix va te demander de le resaisir, fais-le et valide
Laisse toi guider et répond aux questions éventuelles
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuies sur une touche comme demandé, le bloc-note va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Refermes le bloc-note. Ton bureau va réapparaitre
Redémarre normalement et copies-colle l'intégralité du rapport dans une réponse.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valides. Celà te fera apparaitre ton bureau

7) Lance Ccleaner option Nettoyage
Vide tes quarantaine.
Vide la corbeille

8) Redémarre en mode normal,
Fermes internet explorer puis Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
Tu les supprimes.

9) Poste le rapport avec un nouveau log Hijackthis.

Essaye de lancer IE pour voir si les pubs reviennent ou si on a réussi.
@+

steph5691 Messages postés 21 Statut Membre

re

Tout d'abord, le dernier log Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 13:22:30, on 04/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\freeBrowser\vlc\vlc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [freeBrowser] C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?75063bf70dd54a9fb8fa5245d588c2e2
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?75063bf70dd54a9fb8fa5245d588c2e2
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115127468031
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

J'éspère qu'il est clean !

J'ai fait tout ce que tu m'a demandé et je n'ai rencontrer aucun problème. Sauf que je n'ai pas trouvé cette ligne :

O4 - HKLM\..\Run: [xuzbwvjyr] c:\windows\system32\xuzbwvjyr.exe xuzbwvjyr

Dans Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats"j'ai supprimé electronic-group mais il me semblait bien l'avoir déja fait auparavant.

Enfin j'ai bien tout nettoyer avec CCleaner.

Je me suis reconnecté il y a une dizaine de minute sous Internet Explorer et pour l'instant je n'ai pas eu de problème, pas de pub ni de pop up ! donc je crois qu'on peut maintenant cocher résolu non ?
j'attends quand même ta confirmation au cas ou. Peut etre faut il encore repassé un scan ?

En tout cas je te remercie pour ta patience et ta persévérence.
a+

Discussions similaires

Supprimer compte facebook sans mail

Supprimer compte Tendermeets.com

Comment supprimer drivecleaner ?

23 réponses

Votre réponse

Discussions similaires

Newsletters