Fenètres intempestives

Résolu/Fermé
virusphobie - 20 mars 2007 à 11:07
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 28 mars 2007 à 01:41
Bonjour à tous. Prière de m'analysé mon rapport hijackthis. J'ai des fenêtres qui s'ouvrent de façon inopinée kan je navigue aussi avec IE qu'avec Ffox.
Merci d'avance.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 09:47:12, on 20/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Real\RealPlayer\realplay.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Bureau\HiJackThis_v2.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{30446EDC-1E30-4654-B2B4-1ABDCD788E7C}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8891F5-4B63-4FE0-A04B-66FB3CC275F3}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F547FC3-1FEC-4248-B0FC-D4E9FA5AEBD2}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.18 85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.18 85.255.112.185
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

13 réponses

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
20 mars 2007 à 11:13
Bonjour

Prière de m'analysé 


pas terrible comme formule....

peux tu stp poster un rapport hijackthis avec l'ancienne version
http://pchelpbordeaux.free.fr/logiciels.html

merci

ensuite tu n'as pas d'antivirus actif dans ton pc ?
0
virusphobie
20 mars 2007 à 17:02
Merci philae83 d'avoir bien voulu vous pencher sur mon problème.

Voici le nouvo log avec l'ancienne version de hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 15:51:36, on 20/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{30446EDC-1E30-4654-B2B4-1ABDCD788E7C}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8891F5-4B63-4FE0-A04B-66FB3CC275F3}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F547FC3-1FEC-4248-B0FC-D4E9FA5AEBD2}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.18 85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.18 85.255.112.185
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
20 mars 2007 à 17:13
re

* Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{30446EDC-1E30-4654-B2B4-1ABDCD788E7C}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8891F5-4B63-4FE0-A04B-66FB3CC275F3}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F547FC3-1FEC-4248-B0FC-D4E9FA5AEBD2}: NameServer = 85.255.116.18,85.255.112.185
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.18 85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.18 85.255.112.185

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HijackThis

----------
Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tuutilise un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Clique deux fois sur OK, et redémarre l'ordinateur.

0
virusphobie
20 mars 2007 à 18:50
Merci encore. Voici les résultats.
Report 1:

Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or https://virusscan.jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"dzhoepawr"="c:\\windows\\system32\\dzhoepawr.exe dzhoepawr"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

Log Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 17:44:16, on 20/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Report 2 (final)


Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or https://virusscan.jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"dzhoepawr"="c:\\windows\\system32\\dzhoepawr.exe dzhoepawr"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
20 mars 2007 à 18:53
ok, merci

lance hijackthis pour un "scan seulement" puis coche ces lignes :

O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

* ferme toutes les applications ouvertes et clique sur "fixer objet"

puis

* Fait un scan antivirus en ligne Panda et copie colle le résultat ici
https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

* tuto en image
https://forum.pcastuces.com/default.asp#haut

à la lettre T

0
virusphobie
20 mars 2007 à 23:17
merci. voici le rapport scanPanda.


Incident Statut Analyse

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\nbfi2vk6.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\nbfi2vk6.default\cookies.txt[.xiti.com/]
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\nbfi2vk6.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\nbfi2vk6.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\nbfi2vk6.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\nbfi2vk6.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\nbfi2vk6.default\cookies.txt[fl01.ct2.comclick.com/]
Outil indésirable:Application/SystemDoctor2006 No Désinfecté C:\Documents and Settings\Invité\Bureau\SystemDoctor2006FreeInstall_fr.exe
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@247realmedia[1].txt
Spyware:Cookie/PointRoll No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@ads.pointroll[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@bs.serving-sys[1].txt
Spyware:Cookie/CentrPort No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@centrport[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@perf.overture[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@serving-sys[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@xiti[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.winantivirus.com/]
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.advertising.com/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.247realmedia.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[fl01.ct2.comclick.com/]
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.overture.com/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Itrack No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[ilead.itrack.it/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.bs.serving-sys.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.com.com/]
Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.zedo.com/]
Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.errorsafe.com/]
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[stats1.reliablestats.com/]
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[.systemdoctor.com/]
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\fc8enjwe.default\cookies.txt[go.winantispyware.com/NjM1/2/422/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\user\Cookies\user@247realmedia[1].txt
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\user\Cookies\user@adtech[2].txt
Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\user\Cookies\user@toplist[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\user\Cookies\user@weborama[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\user\Cookies\user@xiti[1].txt
Outil indésirable:Application/NirCmd.A No Désinfecté C:\fixwareout\FindT\nircmd.exe
Adware:Adware/NaviPromo No Désinfecté C:\WINDOWS\system32\dzhoepawr.exe
Adware:Adware/NaviPromo No Désinfecté C:\WINDOWS\system32\swevyrcghk.exe
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
20 mars 2007 à 23:27
re

il faut vérifier quelque chose

* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)

Enregistre le sur ton Bureau.
Double-clique blbeta.exe
Clique sur "I ACCEPT" .
clique Scan puis Next<*gras>

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé <gras>fsbl.xxxxxxx.log
(les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe
0
virusphobie
21 mars 2007 à 23:24
Ok
Voici le rapport ke tu ma demandé. Merci pour la peine ke tu te fé pour moi.

03/21/07 22:20:27 [Info]: BlackLight Engine 1.0.55 initialized
03/21/07 22:20:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/21/07 22:20:27 [Note]: 7019 4
03/21/07 22:20:27 [Note]: 7005 0
03/21/07 22:20:37 [Note]: 7006 0
03/21/07 22:20:38 [Note]: 7011 1128
03/21/07 22:20:38 [Note]: 7026 0
03/21/07 22:20:38 [Note]: 7026 0
03/21/07 22:20:39 [Note]: 7024 3
03/21/07 22:20:39 [Info]: Hidden process: C:\windows\system32\dzhoepawr.exe
03/21/07 22:20:51 [Note]: FSRAW library version 1.7.1021
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
22 mars 2007 à 00:02
re

ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

* Télécharge CCleaner

http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite).

Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

* télécharge Brute Force Uninstaller

http://www.merijn.org/files/bfu.zip


* FAIS UN CLIC-DROIT sur le lien ci dessous

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)


* FAIS UN CLIC-DROIT sur le lien ci dessous

http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)


* télécharge Navipromo.zip (par lazzzy)

http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
et décompresse-le sur ton bureau

* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

https://forum.pcastuces.com/default.asp#haut

à la lettre C

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.


* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois


* Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous

* lance Ccleaner pour un nettoyage complet.

* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
0
virusphobie
22 mars 2007 à 13:02
merci.
j'ai fait comme indiqué. sauf que navipromo n'a rien donné. La machine est devenue plus lente encore depuis hier et des fénètres comme spyware-secur et winantispyware continuent de m'indisposé.

voici le le contenu du fichier egd.txt qui se trouve dans Poste de travail > disque C:\

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"dzhoepawr"="c:\\windows\\system32\\dzhoepawr.exe dzhoepawr"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
22 mars 2007 à 14:42
Bonjour,

j'ai fait comme indiqué. sauf que navipromo n'a rien donné


fait passer les rapports stp.

0
virusphobie
22 mars 2007 à 14:47
bONJOUR.

kel rapport? si cé navipromo y en a pa eu. apparammen il na pa cherché
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
22 mars 2007 à 14:54
re

si il n'y a pas de rapport, c'est que la manip n'a pas été faite correctement, tu la refais et tu postes les rapports stp.
0
virusphobie
23 mars 2007 à 11:32
BONJOUR,
vous parlé peut être de ce rapport.


Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or https://virusscan.jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"dzhoepawr"="c:\\windows\\system32\\dzhoepawr.exe dzhoepawr"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 mars 2007 à 11:36
bonjour,

non je parle du rapport de navipromo, et je te disais que si il n'y a aucun rapport c'est que la manip n'a pas été faite correctement, il génère toujours un rapport.

0
virusphobie
23 mars 2007 à 16:52
Bonjour

Jé fé comme tu m'as di mé apparamment navipromo é inactif.

voici comment il se présente quand je lance le fichier .bat:

Navipromo. bat version 0.72

R= Recherche et suppression automatique
S= Saisie
V= Effectuer quelques vérifications
H= Suppression Heuristique
Q= Quitter l’application

[R, S, V, H, Q]

quand je tape sur la touche R sur le clavier il ne se passe rien. Si tu pe m'éclairé davantage.
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 mars 2007 à 17:00
je n'ai jamais rencontré ce problème. Je vais voir ça dans la soirée



peux tu stp, en attendant reposter un rapport blacklight et un nouveau rapport hijackthis
0
virusphobie
23 mars 2007 à 18:09
Ok voici les deux rapports demandés.
Rapport Blacklight

03/23/07 16:31:34 [Info]: BlackLight Engine 1.0.55 initialized
03/23/07 16:31:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/23/07 16:31:34 [Note]: 7019 4
03/23/07 16:31:34 [Note]: 7005 0
03/23/07 16:31:38 [Note]: 7006 0
03/23/07 16:31:38 [Note]: 7011 556
03/23/07 16:31:39 [Note]: 7026 0
03/23/07 16:31:39 [Note]: 7026 0
03/23/07 16:31:39 [Note]: 7024 3
03/23/07 16:31:39 [Info]: Hidden process: C:\windows\system32\dzhoepawr.exe
03/23/07 16:31:45 [Note]: FSRAW library version 1.7.1021
03/23/07 16:49:21 [Info]: Hidden file: c:\WINDOWS\system32\dzhoepawr.dat
03/23/07 16:49:21 [Note]: 10002 1
03/23/07 16:49:21 [Info]: Hidden file: C:\windows\system32\dzhoepawr.exe
03/23/07 16:49:21 [Note]: 10002 1
03/23/07 16:49:21 [Info]: Hidden file: c:\WINDOWS\system32\dzhoepawr_nav.dat
03/23/07 16:49:21 [Note]: 10002 1
03/23/07 16:49:22 [Info]: Hidden file: c:\WINDOWS\system32\dzhoepawr_navps.dat
03/23/07 16:49:22 [Note]: 10002 1
03/23/07 17:06:45 [Note]: 7007 0


Rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 17:08:18, on 23/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 mars 2007 à 22:30
ils sont bien toujours là, il faudrait pourtant arriver à utiliser navipromo.
Tu vas essayer de supprimer :

C:\Navipromo,

C:\Navipromo.txt et Navipromo.bat, puis vide ta corbeille.

* Lance ccleaner pour un nettoyage complet,

* redémarre ton pc, puis

reprends cette manip en entier stp poste
< 9 > philae83 (jeudi 22 mars 2007 à 00:02:04)



0
virusphobie
26 mars 2007 à 18:56
Bonjour,
Navipromo ne s'exécute tjrs pas. C'est peut être lié à ma machine car j'ai aussi essayé Navilog mais la réction a été parèy. Je me suis rabbatu sur Ashampoo antispyware. Je crois être plus clean k'avant. je te poste mon nouvo rapport hijacthis.

Logfile of HijackThis v1.99.1
Scan saved at 16:33:24, on 26/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
26 mars 2007 à 21:52
bonsoir,

reposte un rapport avec blacklight stp
0
virusphobie
27 mars 2007 à 11:19
Bonjour,
comme demandé je te poste le rapport blacklight. Merci de votre disponibilité.

03/27/07 09:08:55 [Info]: BlackLight Engine 1.0.55 initialized
03/27/07 09:08:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/27/07 09:08:55 [Note]: 7019 4
03/27/07 09:08:55 [Note]: 7005 0
03/27/07 09:09:19 [Note]: 7006 0
03/27/07 09:09:19 [Note]: 7011 944
03/27/07 09:09:20 [Note]: 7026 0
03/27/07 09:09:20 [Note]: 7026 0
03/27/07 09:09:30 [Note]: FSRAW library version 1.7.1021
03/27/07 09:18:35 [Note]: 7007 0
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
27 mars 2007 à 14:37
bonjour,

apparemment, il n'y a plus rien avec blacklight, c'est que la manip qq part a dû fonctionner

Je ne vois plus AVAST en protection ? tu l'as supprimé ?
0
virusphobie
27 mars 2007 à 18:02
Merci. jé toujours avast mé pas en démmarrage automatique. car ma machine démarre avec bcp de lenteur. jé pensé que cété du au fait que plusieurs programme demaré en même temps.

L'autre problème auquel je suis confronté cé le bruit ke fé la machine. elle ronfle bcp é fort de telle sorte ke kan je parle à mes contact via skype ils mentenden difficilement à cause du bruit. si vous avé une solution à celà je vous en serais reconnaissant.
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
27 mars 2007 à 21:51
bonsoir

car ma machine démarre avec bcp de lenteur. jé pensé que cété du au fait que plusieurs programme demaré en même temps.

il n'empêche qu'il n'apparait pas sur le log, donc il n'était pas actif lorsque tu l'as fait c'est bien ça ?
L'autre problème auquel je suis confronté cé le bruit ke fé la machine. elle ronfle bcp é fort de telle sorte ke kan je parle à mes contact via skype ils mentenden difficilement à cause du bruit. si vous avé une solution à celà je vous en serais reconnaissant.


essaye stp de parler autrement qu'en langage sms, parce que je n'y comprends rien et n'ai pas envie de faire d'effort. Merci

ensuite pour ce problème qui n'est pas un problème infectieux je ne saurais t'aider.
0
virusphobie
28 mars 2007 à 01:37
Je te remercie infiniment pour l'aide oh combien précieux que tu m'as apportée. Vous avez résolu mon problème.
C'est exact ce que vous avez dit aussi concernant mon autre problème qui ne relève pas d'une infection virale peut être du matériel. je verrai le forum le mieux indiqué pour chercher la solution. Merci pour tout.
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206 > virusphobie
28 mars 2007 à 01:41
re

ok, pas de soucis, celui ci peut donc être mis en RESOLU. Merci

bonne nuit
0