trojan et spyware attaquent mon pc Résolu

Question

bonjour j'ai un tas de fenetres intempestives qui s'affichent sans cesse, des trojan, malware? jsuis pas très callé
quelqu'un pourrait-il m'aider?
merci

blondin777 · Answer

Salut.

télécharges « Hijackthis »:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
sauvegardes-le dans un dossier créé spécialement à la racine de ta partition principale (généralement c:\) (là où il y a "Windows", "Program Files"…)' nommes-le "hijackthis" pour le retrouver facilement (vois la démo ci-dessous).
clic sur le fichier > « exécute » > « do a scan and save a logfile ».
une fois fini tu vas avoir un « rapport.txt » (dans le dossier où tu l’as telechargé)
postes ici ce rapport
Démo : http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm

dime78 · Answer

merci blondin je fais ça et t'envoi tout

blondin777 · Answer

#  Télécharges et installes Look2Me-Destroyer

http://www.atribune.org/ccount/click.php?id=7

# Double-cliques Look2Me-Destroyer.exe afin de lancer l'outil.

    * NOTE: Si un message runtime error '339' s'affiche : Télécharges ça:

http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

 et places-le dans le dossier C:\Windows\System32

# Coches Run this program as a task
# Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Cliques sur OK
# Le programme va se relancer après 10 secondes, puis cliques sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
# Lorsque le scan termine, cliques sur le bouton Remove L2M
# Un message Done Scanning apparaîtra, clique OK.
# Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; cliques sur OK.

#DémarresAVG antispyware. Cliquer sur "mise à jour", cliques sur le bouton "Commencer la mise à jour" et attends la fin de cette mise à jour puis, fermes le programme.
 #Redemarres en mode sans échec

https://www.malekal.com/demarrer-windows-mode-sans-echec/ 

#Relances AVG AS et cliques sur l'onglet "scanner" puis sur "Analyse complète du système".
#Une fois le scan terminé, il t'affiche un rapport. Cliquer sur "configurer..." en bas a gauche et choisir "supprimer". Ensuite cliquer sur "Appliquer toutes les actions ", ca va supprimer toutes les infections détectées.
#Ensuite cliquer sur "Enregistrer le rapport d'analyse" -> "enregistrer sous" et enregistrer le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse.

Repostes un log hijacthis.

blondin777 · Answer

T'es bien vérolé alors si ca ne te gêne pas, je vais allé reposer les yeux avant de me pencher de trés près sur ton log.

As tu quand même pu faire Look2Me?

Buena note.

A demain

blondin777 · Answer

Clique sur démarrer -> panneau de configuration (en affichage classique) ->option des dossiers -> onglet « affichage »

* Coches  « afficher les dossiers et fichiers cachés »
* Décoches  « Masquer les fichiers protégés du système d'exploitation (recommandé) »
* Décoches  « masquer les extensions dont le type est connu »

Puis Appliquer pour valider les changements. Et Ok.

Coches et fixes les lignes suivantes dans hijackthis:

R3 - Default URLSearchHook is missing 
O4 - HKLM\..\Run: [Windows mod Verifier] Windows-mod.exe
O4 - HKLM\..\Run: [asdgs] C:\http1.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [5gbff] C:\WINDOWS\lbxkkm.exe
O4 - HKLM\..\Run: [HACcJi] C:\WINDOWS\jcjspx.exe
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volumec.exe -i
O4 - HKLM\..\Run: [Timer] C:\WINDOWS	imed.exe /i
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\ylltednr.dll",setvm
O4 - HKLM\..\Run: [ERS_check] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\ers_startupmon.exe"
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\qiwvxaju.dll",setvm 
O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
O4 - HKLM\..\RunServices: [Windows mod Verifier] Windows-mod.exe 
O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: M-Audio Ozone Control Panel Launcher.lnk = C:\Program Files\M-Audio Ozone\OZTask.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://69.50.173.194/data/on.chm::/on.exe
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll 
O20 - AppInit_DLLs: pushow2.dll 

Vas dans le menu démarrer -> executer et tu tapes : services.msc

** Cherche le services suivants : 

Ozinst.exe 
perfont.exe
win32ssr.exe


Double clic dessus : dans le champs "Status du service" mets les sur "arrêté"
dans le champs"Type de démarrage" mets les sur "désactivé"(Seul Ozinst.exe peut rester en manuel ) puis "Appliquer" puis"ok"

Quitte les services.

double clique sur ton poste de travail et fais une recherche dans c:\windows sur ces fichiers là et tu les supprimes si présents:

lbxkkm.exe
jcjspx.exe
volumec.exe 
timed.exe
winmsgr.exe 

Même manip' à cet endroit:

C:\WINDOWS\System32 pour ces fichiers:

qiwvxaju.dll
ylltednr.dll

Pareil pour ce fichier: C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\ers_startupmon.exe"


 Fais un clic droit sur ce lien :

http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
Patientes jusqu'au message :

"Analyse Termine le ..... "

Appuies sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copies-colles l'intégralité içi. Refermes le bloc-notes.

dime78 · Answer

??? qu'est ce que tu entends par "Coches et fixes les lignes suivantes dans hijackthis":

blondin777 · Answer

Je t'ai mis une demo dans le post<1>...

dime78 · Answer

bonsoir blondin
voilà les étapes que tu m'a conseillé sont remplies 
voici les différents rapports

AVG : 
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	10:39:41 16/03/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\horry\Cookies\horry@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@buycom.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@bfast[2].txt -> TrackingCookie.Bfast : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@promo.casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\Documents and Settings\horry\Cookies\horry@zedo[2].txt -> TrackingCookie.Zedo : Nettoyé.

bloc note navilog

Search Navipromo version 1.0.7 commencé le 17/03/2007 à  0:12:30,15
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\horry\Bureau
avilog1
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***


 

*** Recherche dossiers dans C:\Program Files ***


 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***


 

*** Recherche dossiers dans C:\Documents and Settings\horry\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1055.

[+] Started on 03/17/07 at 00:12:31.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...........................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 03/17/07 at 00:14:23 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre *** 


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de recherche complémentaire *** 
(recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 17/03/2007 à  0:14:38,43 ***  


et hijackthis : 

Logfile of HijackThis v1.99.1
Scan saved at 00:17:03, on 17/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\limlegjl.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe


qu'en penses-tu? j'ai encore des fenetres intempestives qui apparaissent ...

merci

blondin777 · Answer

Re

Installes un antivirus>>>Avast
Installes un parefeu>>> zonealarm ou kerio, au choix.
Mets à jour windows.

coches et fixes cette ligne:

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\limlegjl.dll",setvm 

Télécharge SmitfraudFix
 
http://siri.urz.free.fr/Fix/SmitfraudFix.zip  
 
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Poste le rapport ici

 Télécharge clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, suis les consignes.
Poste le rapport qui se trouve ici C:\rapport_clean.txt

dime78 · Answer

merci Blondin

voici le rapport 

SmitFraudFix v2.148

Rapport fait à 15:49:44,00, 18/03/2007
Executé à partir de C:\Documents and Settings\horry\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\horry


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\horry\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\horry\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


et celui de clean:

Rapport clean par Malekal_morte - http://www.malekal.com 
Option 1, executee le 18/03/2007 a 15:51:29,90 
 
*** Recherche de fichiers sur C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\i FOUND 
C:\WINDOWS\system32\mcrh.tmp FOUND 
C:\WINDOWS\system32\stera.job FOUND 
C:\WINDOWS\system32\x FOUND 
C:\WINDOWS\system32\aswboot.exe FOUND 
C:\WINDOWS\system32\hqghumea.dll FOUND 
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND 
 
"C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND 
*** Fin du rapport ! 


qu'en penses tu

merci

blondin777 · Answer

Telecharges Killbox : https://www.generation-nt.com/killbox-telechargement-25430.html

Doubles clique sur killbox.exe (Pocket Killbox)

sélectionne entièrement la liste ci-dessous :

C:\WINDOWS\system32\i 
C:\WINDOWS\system32\mcrh.tmp 
C:\WINDOWS\system32\stera.job 
C:\WINDOWS\system32\x 
C:\WINDOWS\system32\hqghumea.dll 
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
C:\Program Files\DivX\Google\Firefox\ffinstaller.exe

---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

Après redémarrage, relance Killbox puis clic sur  l'onglet "fichier" -> Log -> Actions History Log
Poste le rapport ici

Repostes un log clean après

dime78 · Answer

voilà blondin

Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:49 PM
 
Killbox Closed(Exit) @ 4:52:46 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:52 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\i

 
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\mcrh.tmp

 
# 3 [Delete on Reboot]
Path = C:\WINDOWS\system32\x

 
# 4 [Delete on Reboot]
Path = C:\WINDOWS\system32\hqghumea.dll

 
# 5 [Delete on Reboot]
Path = C:\WINDOWS\Downloaded Program Files\CONFLICT.1

 
# 6 [Delete on Reboot]
Path = C:\Program Files\DivX\Google\Firefox\ffinstaller.exe

 
I Rebooted @ 4:54:03 PM
Killbox Closed(Exit) @ 4:54:04 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:57 PM
 

et clean : 

Rapport clean par Malekal_morte - http://www.malekal.com 
Option 1, executee le 18/03/2007 a 16:58:59,84 
 
*** Recherche de fichiers sur C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\aswboot.exe FOUND 
 
*** Fin du rapport !

blondin777 · Answer

Bien. reposte un log hijackthis.

Et dis moi où en sont tes problèmes de pop up.

dime78 · Answer

Logfile of HijackThis v1.99.1
Scan saved at 18:38:02, on 18/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Salaat Time\SalaatTime.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2F4BD691-22BE-48FE-B7FB-9E93A6472F06} - C:\WINDOWS\System32\ovxaymnt.dll
O2 - BHO: (no name) - {484C7E93-23C5-43D1-AA75-768AE7764D28} - C:\WINDOWS\System32\jkkll.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Merci beaucoup blondin
dans la vie ya ceux qui tiennent le pistolet et d'autres qui creusent ... toi tu tiens bien le pistolet

c cool au niveau des pop up il semblerait que les pages intempestives soient éradiquées mais lorsque zonelabs  est en marche, je n'arrive pas à me connecter à internet
penses tu que je dois garder avg ou avast comme anti-virus?

blondin777 · Answer

mais lorsque zonelabs est en marche, je n'arrive pas à me connecter à internet

Problème d'autorisation. Est il bien configuré? Sinon, changes et prends kerio.

penses tu que je dois garder avg ou avast comme anti-virus?

Les 2 parce que AVG est un anti spyware et Avast est un anti virus donc ils sont complémentaires.

Merci beaucoup blondin
dans la vie ya ceux qui tiennent le pistolet et d'autres qui creusent ... toi tu tiens bien le pistolet

Bien vu;-)) . C'est effectivement de là qu'est inspiré mon pseudo.

Mais dans ton dernier log, 2 fichiers me chiffonnent.

Fais ça:

Relances killbox

sélectionne entièrement la liste ci-dessous :

C:\WINDOWS\System32\ovxaymnt.dll
C:\WINDOWS\System32\jkkll.dll 

---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

Après redémarrage, relance Killbox puis clic sur  l'onglet "fichier" -> Log -> Actions History Log
Poste le rapport ici

Dans hijackthis, coches et fixes ces lignes:

O2 - BHO: (no name) - {2F4BD691-22BE-48FE-B7FB-9E93A6472F06} - C:\WINDOWS\System32\ovxaymnt.dll
O2 - BHO: (no name) - {484C7E93-23C5-43D1-AA75-768AE7764D28} - C:\WINDOWS\System32\jkkll.dll (file missing) 

et repostes un log hijackthis.

dime78 · Answer

voilà les rapports

Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:49 PM
 
Killbox Closed(Exit) @ 4:52:46 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:52 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\i

 
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\mcrh.tmp

 
# 3 [Delete on Reboot]
Path = C:\WINDOWS\system32\x

 
# 4 [Delete on Reboot]
Path = C:\WINDOWS\system32\hqghumea.dll

 
# 5 [Delete on Reboot]
Path = C:\WINDOWS\Downloaded Program Files\CONFLICT.1

 
# 6 [Delete on Reboot]
Path = C:\Program Files\DivX\Google\Firefox\ffinstaller.exe

 
I Rebooted @ 4:54:03 PM
Killbox Closed(Exit) @ 4:54:04 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:57 PM
 
Killbox Closed(Exit) @ 4:58:49 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 9:34 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\System32\ovxaymnt.dll

 
I Rebooted @ 9:35:32 PM
Killbox Closed(Exit) @ 9:35:35 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 9:41 PM
 


Logfile of HijackThis v1.99.1
Scan saved at 21:44:41, on 18/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Salaat Time\SalaatTime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe


? ça te dit quoi?

blondin777 · Answer

Relances killbox pour effacer celui là:

C:\WINDOWS\System32\jkkll.dll 

Ton log hijackthis est clean, sinon.

On devrait pouvoir conclure au prochain post.

dime78 · Answer

voilà

Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:49 PM
 
Killbox Closed(Exit) @ 4:52:46 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:52 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\i

 
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\mcrh.tmp

 
# 3 [Delete on Reboot]
Path = C:\WINDOWS\system32\x

 
# 4 [Delete on Reboot]
Path = C:\WINDOWS\system32\hqghumea.dll

 
# 5 [Delete on Reboot]
Path = C:\WINDOWS\Downloaded Program Files\CONFLICT.1

 
# 6 [Delete on Reboot]
Path = C:\Program Files\DivX\Google\Firefox\ffinstaller.exe

 
I Rebooted @ 4:54:03 PM
Killbox Closed(Exit) @ 4:54:04 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 4:57 PM
 
Killbox Closed(Exit) @ 4:58:49 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 9:34 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\System32\ovxaymnt.dll

 
I Rebooted @ 9:35:32 PM
Killbox Closed(Exit) @ 9:35:35 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 9:41 PM
 
Killbox Closed(Exit) @ 9:42:50 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 11:00 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\System32\jkkll.dll 

 
PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:01:59 PM
# 2 [Delete on Reboot]
Path = C:\WINDOWS\System32\jkkll.dll 

 
PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:03:20 PM
# 3 [Delete on Reboot]
Path = C:\WINDOWS\System32\jkkll.dll 

 
PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:03:50 PM
Killbox Closed(Exit) @ 11:03:52 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as horry(Administrator)
was started @ dimanche, mars 18, 2007, 11:06 PM
 
et re-voilà

Logfile of HijackThis v1.99.1
Scan saved at 23:07:55, on 18/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Salaat Time\SalaatTime.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe

merci

alors???

blondin777 · Answer

Eh bien c'est tout bon.

Tu peux supprimer les fichiers de navilog1 qui ont été utilisés pour désinfecter ton ordinateur:  

    * blbetac.exe
    * blbeta.exe
    * navilog1.bat
    * Process,exe
    * regnavi.reg
    * traiteregfsbl.bat
    * traitementfsbl.bat
    * le dossier backupnavi

Ensuite tu fais:

*Démarrer/Panneau de Configuration/Options Internet.
*Choisis l'onglet Contenu puis onglet Certificats.
*Si tu trouves les programmes suivant (en particulier dans Editeurs approuvés), supprime-les :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd" 

Derniers conseils:

** télécharges « CCleaner »:
https://www.01net.com/404/

**Télécharge la version d'essai d'AVG Anti-Spyware 7.5 ici :
https://www.avg.com/en-ww/free-antivirus-download

Son tuto (merci malekal_morte) : https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/


et passes les régulierement( mini 1 fois tous les 15 jours).

Un scan en ligne de temps en temps n'est pas superflu non plus.

A+

blondin777 · Answer

Merci.

A+

Trojan et spyware attaquent mon pc

20 réponses

Votre réponse

Newsletters