Drive cleaner est un bon pot de colle

Bonjour,

* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)

Enregistre le sur ton Bureau.
Double-clique blbeta.exe
Clique sur "I ACCEPT" .
clique Scan puis Next<*gras>

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé <gras>fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe

voilà le rapport,

03/03/07 16:37:59 [Info]: BlackLight Engine 1.0.55 initialized
03/03/07 16:37:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/03/07 16:38:00 [Note]: 7019 4
03/03/07 16:38:00 [Note]: 7005 0
03/03/07 16:38:07 [Note]: 7006 0
03/03/07 16:38:07 [Note]: 7011 1840
03/03/07 16:38:07 [Note]: 7026 0
03/03/07 16:38:07 [Note]: 7026 0
03/03/07 16:38:07 [Note]: 7024 3
03/03/07 16:38:07 [Info]: Hidden process: C:\windows\system32\jfuietpeco.exe
03/03/07 16:38:19 [Note]: FSRAW library version 1.7.1021
03/03/07 16:40:41 [Info]: Hidden file: c:\WINDOWS\system32\jfuietpeco.dat
03/03/07 16:40:41 [Note]: 10002 1
03/03/07 16:40:41 [Info]: Hidden file: C:\windows\system32\jfuietpeco.exe
03/03/07 16:40:41 [Note]: 10002 1
03/03/07 16:40:41 [Info]: Hidden file: c:\WINDOWS\system32\jfuietpeco_nav.dat
03/03/07 16:40:41 [Note]: 10002 1
03/03/07 16:40:42 [Info]: Hidden file: c:\WINDOWS\system32\jfuietpeco_navps.dat
03/03/07 16:40:42 [Note]: 10002 1

re

ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

* Télécharge CCleaner

http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite).

Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

aide en image pour la suite
ICI
https://forum.pcastuces.com/default.asp

à la lettre N ) Installer Brute Force Uninstaller

* télécharge Brute Force Uninstaller

http://www.merijn.org/files/bfu.zip

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)

* télécharge Navipromo.zip (par lazzzy)

http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
et décompresse-le sur ton bureau

* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

https://forum.pcastuces.com/default.asp#haut

à la lettre C

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.

* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois

* Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous

* lance Ccleaner pour un nettoyage complet.

* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

alors....

***tout s'est passé comme indiqué sauf que je n'ai pas trouvé ceci

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

mais ceci

electronic-group - thawte code signing CA

que j'ai supprimé.

***petit hic, je ne retrouve pas mon affichage classique windows, est-ce normal?

***pour l'instant pas de soucis avec des affichages intempestifs, je reviendrais plutard pour confirmer.

***VOICI LE RAPPORT :

Rapport Navipromo.bat 0.71 effectué le 03/03/2007 à 17:36:18,02
L'opération se déroule en mode sans échec sous le compte "andrew"

** Recherche...

1/ yatxrv trouvé, recherche de yatxrv*
C:\WINDOWS\system32\yatxrv.dat
C:\WINDOWS\system32\yatxrv.exe
C:\WINDOWS\system32\yatxrv_nav.dat
C:\WINDOWS\system32\yatxrv_navps.dat

------------------
2/ jfuietpeco trouvé, recherche de jfuietpeco*
C:\WINDOWS\system32\jfuietpeco.dat
C:\WINDOWS\system32\jfuietpeco.exe
C:\WINDOWS\system32\jfuietpeco_nav.dat
C:\WINDOWS\system32\jfuietpeco_navps.dat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
jfuietpeco REG_SZ c:\windows\system32\jfuietpeco.exe jfuietpeco

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 2 fois avec cette méthode

################################################

** Nettoyage...

1/ Déplacement de yatxrv* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\yatxrv* déplacé avec succès !

------------------
2/ Déplacement de jfuietpeco* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\jfuietpeco* déplacé avec succès !

------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\jfuietpeco.dat
C:\Navipromo\Backups\jfuietpeco.exe
C:\Navipromo\Backups\jfuietpeco_nav.dat
C:\Navipromo\Backups\jfuietpeco_navps.dat
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\Uninstall.reg
C:\Navipromo\Backups\yatxrv.dat
C:\Navipromo\Backups\yatxrv.exe
C:\Navipromo\Backups\yatxrv_nav.dat
C:\Navipromo\Backups\yatxrv_navps.dat

Ajout d'extension .off aux backups

## Fin du rapport de Suppression

-------------

Rapport Navipromo.bat 0.72 effectué le 03/03/2007 à 17:37:27,99
L'opération se déroule en mode sans échec sous le compte "andrew"

## Suppression Heuristique

* Backups :

Aucun résultat par la recherche heuristique

## Fin du rapport Heuristique

-------------

***petit hic, je ne retrouve pas mon affichage classique windows, est-ce normal?

tu l'as perdu quand ?

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

***petit hic, je ne retrouve pas mon affichage classique windows, est-ce normal?

tu l'as perdu quand ?

-> quand j'ai rallumé windows.
en fait certains trucs de ma config on été modifié comme l'affichage et les divers sons. mais j'ai tout rectifié depuis, donc pas trop de désagrément.
à parttça, plus d'apparitions de fenêtres qui foutaient le bordel.

donc merci beaucoup pour ton aide, ce n'est pas la première fois que tu me dépannes, c'est précieux.

salut

ah oui le rapport ,

Logfile of HijackThis v1.99.1
Scan saved at 18:51:13, on 03/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\PopUp Killer\popupkiller.EXE
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Audacity\audacity.exe
F:\Adobe\Adobe Photoshop CS\Photoshop.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PopUpKiller] C:\Program Files\PopUp Killer\popupkiller.EXE
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\pando.exe" /Minimized
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

re

donc à la suite de MES MANIPS ?
c'est bizarre.

essaye de désactiver cursorXP, pas toujours terrible comme log.

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe

ok
merci
bye