Cissou555

afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Transfert de topic

cisou555 (lundi 26 mars 2007 à 15:20:09)

bonjorg un probleme avec le virus cid peux tu m aider voici mon rapport
Logfile of HijackThis v1.99.1
Scan saved at 16:10:37, on 26/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Kit ADSL\Wizard\PostInstall_Checker.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Save\Save.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jack\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lephoceen.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: (no name) - {D7C6EE31-182B-2F95-4439-7B0D4370F899} - C:\DOCUME~1\jack\APPLIC~1\BIASAC~1\army multi.exe (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NameMfcdJumpKind] C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd\Meta dale.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [neufbox_reminder] "C:\Program Files\Kit ADSL\Wizard\PostInstall_Checker.exe" -r
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Bonecast] C:\DOCUME~1\jack\APPLIC~1\ProcDate\1joy.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linkprd.exe /res
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [JAVA_IBM] Java (IBM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1071_em_XP.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{55F0021F-53AE-4E32-B443-506094A3A232}: NameServer = 84.103.237.143 86.64.145.143
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

Al

Cissou555,

Voici la première partie de la suite :
1°- Prends connaissance du contenu suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisation du programme BlackLight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
« Fichier » > "Enregistrer la cible (du lien) sous... " > et enregistre-le "sur ton bureau".
Fais un clic droit sur "navilog1.zip" et choisis "tout extraire"
Fais l'extraction dans un dossier propre à lui ( je le fais sur le bureau )
Ensuite double-clic sur "navilog1.bat " ( qui est donc sur ton bureau )
Laisse-toi guider. Au menu principal, choisis 1 et valide.
( ne fais pas le choix 2,3 ou 4 sans notre avis/accord )
Patiente jusqu'au message : *** Analyse : Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copier/coller l'intégralité dans une réponse.
Referme le bloc-notes.

Merci
Configuration: Windows XP
Internet Explorer 6.0

11 réponses

  1. bob
     
    refait tous ton system windows xp , frmate et installe , sinon c'est la prise de tete assuré................;
    0
  2. cisou555 Messages postés 7 Statut Membre
     
    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of April, 2007.
    Version information: 2.2.1055.

    [+] Started on 03/29/07 at 17:40:32.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items ........................................................................
    [+] Hidden file: c:\WINDOWS\system32\czphvsbxuk.dat (Action: none)
    [+] Scanning for hidden items ...
    [+] Hidden application: C:\windows\system32\czphvsbxuk.exe (Action: none)
    [+] Scanning for hidden items ...
    [+] Hidden file: c:\WINDOWS\system32\czphvsbxuk_nav.dat (Action: none)
    [+] Scanning for hidden items ...
    [+] Hidden file: c:\WINDOWS\system32\czphvsbxuk_navps.dat (Action: none)
    [+] Scanning for hidden items .................
    [+] Scan complete.
    [+] Summary: 4 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 03/29/07 at 17:50:55 (return code = 1).
    MERCI
    0
  3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir Cisou555

    Ce rapport n'est pas ce que j'avais proposé .

    Si tu ne sais pas lire, je ne peux rien pour toi.

    Amèrement désolé.

    Tente de relire le premier post, là où je demande d'exécuter une procédure d'analyse préliminaire.

    Mais je crois que ce problème ne te semble pas trop urgent.
    Prends tout ton temps.

    Al.
    0
    1. cisou555 Messages postés 7 Statut Membre
       
      Search Navipromo version 1.0.8 commencé le 29/03/2007 à 17:40:31,84

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Poster ce rapport sur le forum pour le faire analyser !!!
      !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

      Fix lancé depuis C:\Documents and Settings\jack\Bureau\navilog1
      Mise a jour le 26.03.2007 a 08h00 by IL-MAFIOSO

      Executé en mode normal

      *** Recherche Programmes installes ***


      Instant Access


      *** Recherche dossiers dans C:\WINDOWS ***




      *** Recherche dossiers dans C:\Program Files ***


      C:\Program Files\Instant Access trouvé !


      *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




      *** Recherche dossiers dans C:\Documents and Settings\jack\Application Data ***



      *** Recherche avec BlackLight Engine/F-secure ***
      BlackLight Engine est un produit de F-secure, pour + d'infos :
      https://www.f-secure.com/en

      Fichier(s) caché(s) dans C:\WINDOWS\system32 :

      c:\WINDOWS\system32\czphvsbxuk.dat
      C:\windows\system32\czphvsbxuk.exe
      c:\WINDOWS\system32\czphvsbxuk_nav.dat
      c:\WINDOWS\system32\czphvsbxuk_navps.dat

      Processus caché(s) dans C:\WINDOWS\system32 :

      C:\windows\system32\czphvsbxuk.exe


      *** Recherche fichiers ***


      C:\WINDOWS\pack.epk trouvé !
      C:\WINDOWS\system32\linkprd.exe trouvé !
      C:\WINDOWS\system32\nvs2.inf trouvé !


      *** Recherche cles registre ***


      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



      Recherche Clé Magic Control

      HKEY_CURRENT_USER\Software\Lanconfig trouvé !
      HKEY_USERS\S-1-5-21-1568768391-2909821564-194947657-1006\Software\Lanconfig trouvé !


      *** Module de recherche complémentaire ***
      (recherche fichiers spécifiques)

      1)Recherche fichiers connus:


      2)Recherche Heuristique :
      *
      C:\WINDOWS\system32\czphvsbxuk.dat trouvé !
      **
      C:\WINDOWS\system32\czphvsbxuk.dat trouvé !
      ***
      ****
      C:\WINDOWS\system32\czphvsbxuk_navps.dat trouvé !
      *****
      ******
      *******
      ********
      C:\WINDOWS\system32\czphvsbxuk.exe trouvé !
      C:\WINDOWS\system32\linkprd.exe trouvé !


      *** Analyse Terminé le 29/03/2007 à 17:51:17,12 ***
      MERCI ERT DESOLE
      0
  4. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    C'est bien mieux. Merci.

    Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie [ Soit tu copies/colles le contenu de la procédure dans un fichier texte(-que tu mets sur le bureau-) pour pouvoir le consulter en mode sans échec ] ou imprime donc la procédure suivante pour ne rien oublier .

    2°- Redémarrer en mode sans échec

    C-à-d.
    -Redémarrer votre ordinateur, et dès que les premières lignes apparaissent, « mitrailler » ( = cliquer à répétition ) la touche F8 de façon à ce qu’un menu apparaisse.
    -Sélectionner à l’aide des flèches « Mode sans échec » et appuyer sur [Enter].

    Un complément d'aide ici : :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

    Double clique sur navilog1.bat
    Laisse-toi guider. Au menu principal, choisis 2 et valide
    Laisse toi guider et réponds aux questions éventuelles
    Ton bureau va disparaître, c'est normal.
    Patiente jusqu'au message :
    *** Nettoyage Terminé le ..... ***
    Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver ( « fichier » > « enregistrer sous » > choisis « bureau » )
    Referme le bloc-notes. Ton bureau va réapparaître
    Redémarre normalement et copier/coller l'intégralité dans une réponse.
    Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

    Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Cela te fera apparaître ton bureau
    •Puis, clic sur "Démarrer"/"panneau de configuration"/"options internet"
    - onglet "Contenu" puis bouton [Certificats...] et si tu trouves ceci, en particulier dans [Éditeurs ... approuvés], (mais regarde ailleurs aussi) : electronic-group, egroup, Montorgueil
    VIP, "Sunny Day Design Ltd" ...
    , tu les supprimes.

    ScanOnline PANDA
    Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >

    Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.

    Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >

    A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
    Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
    •Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

    Merci.
    Al.
    0
    1. cisou555 Messages postés 7 Statut Membre
       
      Clean Navipromo version 1.0.8 commencé le 29/03/2007 à 21:13:01,02

      Fix lancé depuis C:\Documents and Settings\jack\Bureau\navilog1
      Mise a jour le 26.03.2007 a 08h00 by IL-MAFIOSO

      Executé en mode sans echec

      Mode suppression automatique avec prise en charge résultats Blacklight

      *** Creation backups fichiers scan Blbeta ***

      Copie vers "C:\Documents and Settings\jack\Bureau\navilog1\Backupnavi"


      Un des fichiers de l'adware révélé par Blbeta n'a pas été trouvé dans C:\WINDOWS\system32
      La recherche/suppression des fichiers suivants et clés de registre associées est interrompue

      c:\WINDOWS\system32\czphvsbxuk.dat
      C:\windows\system32\czphvsbxuk.exe
      c:\WINDOWS\system32\czphvsbxuk_nav.dat
      c:\WINDOWS\system32\czphvsbxuk_navps.dat

      *** Suppression dossiers dans C:\WINDOWS ***


      *** Suppression dossiers dans C:\Program Files ***


      *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


      *** Suppression dossiers dans C:\Documents and Settings\jack\Application Data ***



      *** Suppression fichiers ***


      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\jack\Local Settings\Temp effectué !


      *** Sauvegarde du registre vers dossier Backupnavi***


      sauvegarde du registre réalisée avec succès !


      *** Nettoyage registre ***


      Nettoyage registre Ok

      *** Traitement Recherche complémentaire ***

      1)Recherche fichiers connus:


      2)Recherche et Suppression Heuristique :

      *
      **
      ***
      ****
      *****
      ******
      *******
      ********

      *** Nettoyage termine le 29/03/2007 à 21:17:50,08 ***

      merci
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    J'ai commis une erreur.

    voici ce qu'il fallait saisir czphvsbxuk ( 2 fois )

    Redémarre en mode sans échec .

    Double clique sur navilog1.bat
    Laisse-toi guider.
    Au menu principal, <souligne>choisis 4 et valide
    Ton bureau va disparaitre, c'est normal.

    Il va te demander de "saisir le nom de fichier"
    Saisis ce qui est en gras ci-après et rien d'autre puis valide: czphvsbxuk,

    Le fix va te demander de ressaisir czphvsbxuk, fais-le et valide.
    Laisse-toi guider et réponds aux questions éventuelles
    Patiente jusqu'au message : "Nettoyage termine le ..... ".

    Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver ( par ex. sur le bureau et dénomme-le clean2)
    Referme le bloc-notes.
    Ton bureau va réapparaître

    •Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le "gestionnaire de tâches".
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Taper « explorer » et valider. Cela fera apparaître ton bureau

    Après quoi, relance l'option 1 en mode normal, et poste le rapport.
    0
    1. cissou555
       
      Clean Navipromo version 1.0.8 commencé le 30/03/2007 à 8:30:37,87

      Fix lancé depuis C:\Documents and Settings\jack\Bureau\navilog1
      Mise a jour le 26.03.2007 a 08h00 by IL-MAFIOSO

      Executé en mode sans echec

      Mode suppression par méthode manuelle

      Nom du fichier saisi : czphvsbxuk

      *** Recherche, Creation backups et suppression ***

      C:\WINDOWS\system32\czphvsbxuk.exe absent !
      C:\WINDOWS\system32\czphvsbxuk.dat absent !
      C:\WINDOWS\system32\czphvsbxuk_nav.dat absent !
      C:\WINDOWS\system32\czphvsbxuk_navps.dat absent !
      C:\WINDOWS\system32\czphvsbxuk_navup.dat absent !
      C:\WINDOWS\system32\czphvsbxuk_navtmp.dat absent !
      C:\WINDOWS\system32\czphvsbxuk_m2s.xml absent !
      C:\WINDOWS\prefetch\czphvsbxuk*.pf absent !


      *** Suppression dossiers dans C:\WINDOWS ***


      *** Suppression dossiers dans C:\Program Files ***


      *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


      *** Suppression dossiers dans C:\Documents and Settings\jack\Application Data ***



      *** Suppression fichiers ***


      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\jack\Local Settings\Temp effectué !


      *** Sauvegarde du registre vers dossier Backupnavi***


      sauvegarde du registre réalisée avec succès !


      *** Nettoyage registre ***


      Nettoyage registre Ok

      *** Traitement Recherche complémentaire ***

      1)Recherche fichiers connus:


      2)Recherche et Suppression Heuristique :

      *
      **
      ***
      ****
      *****
      ******
      *******
      ********

      *** Nettoyage termine le 30/03/2007 à 8:35:02,86 ***
      0
  7. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour cisou555

    Voici la suite

    < Télécharge LopXPMH2 Bêta sur ton Bureau.
    < http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2_Beta.zip
    Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier « lopxpMH.bat ».
    Poste le contenu du rapport qui va s'ouvrir.

    Merci
    Al.
    0
  8. cissou555
     
    Rapport fait à 18:56:47,80 le 30/03/2007

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

    25/02/2003 18:19 <REP> .
    25/02/2003 18:19 <REP> ..
    25/02/2003 18:19 <REP> Identities
    25/02/2003 18:19 <REP> Microsoft
    10/04/2005 10:05 <REP> Sonic
    10/04/2005 10:07 <REP> Symantec
    25/02/2003 18:19 62 desktop.ini
    1 fichier(s) 62 octets
    6 R‚p(s) 11ÿ221ÿ872ÿ640 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

    25/02/2003 18:19 <REP> .
    25/02/2003 18:19 <REP> ..
    10/04/2005 09:57 <REP> BVRP Software
    25/02/2003 18:19 <REP> Microsoft
    10/04/2005 09:48 8ÿ224 GDIPFONTCACHEV1.DAT
    25/02/2003 19:06 0 IconCache.db
    2 fichier(s) 8ÿ224 octets
    4 R‚p(s) 11ÿ221ÿ868ÿ544 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    25/02/2003 18:05 <REP> .
    25/02/2003 18:05 <REP> ..
    06/09/2005 15:36 <REP> Apple Computer
    09/07/2005 11:44 <REP> CyberLink
    25/03/2007 20:01 <REP> dogflawnamemfcd
    20/09/2006 19:32 <REP> Google
    10/04/2005 10:05 <REP> IBM
    12/07/2005 21:43 <REP> Kodak
    02/07/2005 08:44 <REP> Messenger Plus!
    25/02/2003 18:05 <REP> Microsoft
    30/10/2005 20:08 <REP> PlatformSaveDrawJoy
    06/09/2005 15:36 <REP> QuickTime
    25/02/2003 18:22 <REP> SBSI
    22/07/2005 14:13 <REP> Spybot - Search & Destroy
    10/04/2005 10:07 <REP> Symantec
    06/05/2006 19:10 <REP> Windows Genuine Advantage
    23/11/2006 09:35 <REP> Windows Live Toolbar
    25/02/2003 18:05 62 desktop.ini
    05/08/2006 16:41 1ÿ763 QTSBandwidthCache
    2 fichier(s) 1ÿ825 octets
    17 R‚p(s) 11ÿ221ÿ868ÿ544 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    25/02/2003 18:05 <REP> .
    25/02/2003 18:05 <REP> ..
    23/06/2005 11:04 <REP> Identities
    25/02/2003 18:05 <REP> Microsoft
    23/06/2005 11:04 <REP> Sonic
    23/06/2005 11:04 <REP> Symantec
    25/02/2003 18:05 62 desktop.ini
    1 fichier(s) 62 octets
    6 R‚p(s) 11ÿ221ÿ868ÿ544 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    25/02/2003 18:05 <REP> .
    25/02/2003 18:05 <REP> ..
    23/06/2005 11:04 <REP> BVRP Software
    23/06/2005 11:04 <REP> Microsoft
    23/06/2005 11:04 13ÿ104 GDIPFONTCACHEV1.DAT
    23/06/2005 11:04 0 IconCache.db
    2 fichier(s) 13ÿ104 octets
    4 R‚p(s) 11ÿ221ÿ868ÿ544 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\jack\Application Data

    24/06/2005 07:16 <REP> .
    24/06/2005 07:16 <REP> ..
    09/07/2005 11:52 <REP> Adobe
    06/09/2005 15:37 <REP> Apple Computer
    01/05/2006 18:37 <REP> Azureus
    27/01/2007 13:42 <REP> BitTorrent
    09/01/2007 15:30 <REP> BSplayer
    09/07/2005 22:37 <REP> COWON
    21/07/2005 18:46 <REP> Cyberlink
    17/03/2007 10:58 <REP> dvdcss
    20/05/2006 20:28 <REP> EoRezo
    11/10/2005 20:01 <REP> Google
    24/07/2005 22:06 <REP> Help
    04/07/2005 16:57 <REP> IBM
    24/06/2005 07:16 <REP> Identities
    09/07/2005 11:52 <REP> InterTrust
    22/07/2005 14:11 <REP> Lavasoft
    05/01/2006 21:43 <REP> LimeWire
    02/07/2005 08:18 <REP> Macromedia
    24/06/2005 07:16 <REP> Microsoft
    06/05/2006 07:06 <REP> OpenOffice.org2
    31/08/2005 19:13 <REP> ppStream
    02/07/2005 08:43 <REP> ProcDate
    11/07/2005 23:12 <REP> Real
    15/03/2007 23:07 <REP> Screenshot Sender
    24/06/2005 07:16 <REP> Sonic
    24/01/2006 21:22 <REP> Sun
    24/06/2005 07:16 <REP> Symantec
    02/07/2005 08:35 <REP> vlc
    24/06/2005 07:16 62 desktop.ini
    05/08/2005 07:17 560 ViewerApp.dat
    2 fichier(s) 622 octets
    29 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\jack\Local Settings\Application Data

    24/06/2005 07:16 <REP> .
    24/06/2005 07:16 <REP> ..
    09/07/2005 12:08 <REP> Ahead
    06/09/2005 15:37 <REP> Apple Computer
    24/06/2005 07:16 <REP> BVRP Software
    20/09/2006 20:03 <REP> Google
    24/07/2005 22:06 <REP> Help
    09/09/2005 17:17 <REP> Identities
    24/06/2005 07:16 <REP> Microsoft
    03/12/2005 14:42 <REP> Pixoria
    16/09/2005 12:54 <REP> Shareaza
    02/07/2005 06:56 32ÿ768 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    24/06/2005 07:16 23ÿ296 GDIPFONTCACHEV1.DAT
    12/07/2005 21:54 2ÿ205ÿ456 IconCache.db
    3 fichier(s) 2ÿ261ÿ520 octets
    11 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\LocalService\Application Data

    25/02/2003 18:19 <REP> .
    25/02/2003 18:19 <REP> ..
    25/02/2003 18:19 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    25/02/2003 18:19 <REP> .
    25/02/2003 18:19 <REP> ..
    25/02/2003 18:19 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

    25/02/2003 18:19 <REP> .
    25/02/2003 18:19 <REP> ..
    25/02/2003 18:19 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    25/02/2003 18:19 <REP> .
    25/02/2003 18:19 <REP> ..
    25/02/2003 18:19 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    25/02/2003 18:17 <REP> .
    25/02/2003 18:17 <REP> ..
    23/06/2005 11:04 <REP> Identities
    25/02/2003 18:17 <REP> Microsoft
    23/06/2005 11:04 <REP> Sonic
    23/06/2005 11:04 <REP> Symantec
    25/02/2003 18:17 62 desktop.ini
    1 fichier(s) 62 octets
    6 R‚p(s) 11ÿ221ÿ860ÿ352 octets libres
    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    25/02/2003 18:17 <REP> .
    25/02/2003 18:17 <REP> ..
    23/06/2005 11:04 <REP> BVRP Software
    23/06/2005 11:00 <REP> Microsoft
    23/06/2005 11:04 13ÿ104 GDIPFONTCACHEV1.DAT
    23/06/2005 11:04 0 IconCache.db
    2 fichier(s) 13ÿ104 octets
    4 R‚p(s) 11ÿ221ÿ860ÿ352 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    C:\WINDOWS\Tasks\AB52905191A5025D.job
    RÚ2cªðG—½<Ø•ÅLF Þ <
    s "€!× < c : \ d o c u m e ~ 1 \ j a c k \ a p p l i c ~ 1 \ p r o c d a t e \ t h i r d h e a r t s e t t i n g s . e x e j a c k 0 Ï   <

    C:\WINDOWS\Tasks\BMMTask.job
    »é†È0ÿL‰¹º6/cF
    Þ s 4 À! * C : \ P R O G R A ~ 1 \ T h i n k P a d \ U T I L I T ~ 1 \ B M M T A S K . E X E C : \ P R O G R A ~ 1 \ T h i n k P a d \ U T I L I T ~ 1 A d m i n i s t r a t e u r 0 Ï 0 Ï

    C:\WINDOWS\Tasks\MP
    MP inexploitable

    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C s'appelle IBM_PRELOAD
    Le num‚ro de s‚rie du volume est 5073-8444

    R‚pertoire de C:\Program Files

    29/03/2007 20:09 <REP> .
    29/03/2007 20:09 <REP> ..
    09/07/2005 11:52 <REP> Adobe
    15/02/2007 22:31 <REP> Adverts
    31/07/2005 18:27 <REP> Ahead
    03/08/2005 15:41 <REP> Alcohol Soft
    10/04/2005 09:58 <REP> ATI Technologies
    10/06/2006 07:34 <REP> Azureus
    26/02/2007 21:34 <REP> BitTorrent
    17/05/2006 19:43 <REP> CasinoOnNet
    26/03/2007 09:51 <REP> CCleaner
    08/01/2007 13:35 <REP> CD Audio Reader Filter
    09/10/2005 19:05 <REP> Championship Manager 01-02
    01/10/2005 10:13 <REP> Cheewoo
    25/02/2003 18:10 <REP> ComPlus Applications
    10/04/2005 09:57 <REP> CONEXANT
    03/08/2005 17:07 <REP> Cyanide
    09/07/2005 11:44 <REP> CyberLink
    09/07/2005 11:45 <REP> CyberLink DVD Solution
    16/10/2005 20:29 <REP> DesktopPlant
    10/04/2005 09:57 <REP> Digital Line Detect
    08/01/2007 13:34 <REP> DirectVobSub
    31/08/2005 22:35 <REP> DivX
    08/01/2007 13:35 <REP> DScaler5
    08/01/2007 13:35 <REP> DS-MP3 Source
    09/10/2005 19:06 <REP> EA SPORTS
    19/03/2007 10:34 <REP> EcoLotofootSha
    30/03/2007 08:37 <REP> eMule
    01/07/2006 20:39 <REP> eoRezo
    17/09/2005 19:39 <REP> ESET
    02/09/2006 16:50 <REP> Everest Casino
    08/01/2007 13:35 <REP> ffdshow
    01/04/2006 19:40 <REP> Fichiers communs
    04/08/2005 20:34 <REP> Friendly Technologies
    04/02/2007 21:54 <REP> Google
    08/01/2007 13:35 <REP> Haali
    10/04/2005 10:02 <REP> IBM
    10/04/2005 10:05 <REP> IBM DLA
    10/04/2005 10:04 <REP> IBM RecordNow!
    16/02/2007 17:56 <REP> Internet Explorer
    10/04/2005 10:05 <REP> InterVideo
    05/08/2006 16:36 <REP> iPod
    05/08/2006 16:38 <REP> iTunes
    20/01/2006 10:27 <REP> Java
    08/05/2006 13:27 <REP> jeux
    27/07/2005 19:30 <REP> JoWooD
    25/09/2005 17:49 <REP> JVTorrent
    06/09/2005 13:35 <REP> Kaspersky Lab
    20/07/2006 20:05 <REP> Kit ADSL
    19/07/2005 16:53 <REP> Kodak
    19/03/2007 10:44 <REP> Lavasoft
    07/01/2007 19:53 <REP> LimeWire
    26/02/2007 21:36 <REP> Loto1N2
    13/02/2006 20:59 <REP> MediaGateway
    09/08/2006 18:04 <REP> MegaSpoof
    02/07/2005 08:26 <REP> Messenger
    15/03/2007 23:05 <REP> Messenger Plus! Live
    22/04/2006 08:52 <REP> MessengerPlus! 3
    01/06/2006 21:26 <REP> Microsoft AntiSpyware
    25/02/2003 18:14 <REP> microsoft frontpage
    05/08/2005 15:35 <REP> ModemAdsl
    25/02/2003 18:11 <REP> Movie Maker
    25/02/2003 18:09 <REP> MSN
    25/02/2003 18:10 <REP> MSN Gaming Zone
    19/03/2007 10:21 <REP> MSN Messenger
    19/11/2006 00:55 <REP> MSXML 4.0
    25/02/2003 18:11 <REP> NetMeeting
    10/04/2005 09:57 <REP> NetWaiting
    01/10/2005 10:05 <REP> NFO viewer
    06/05/2006 07:00 <REP> OpenOffice.org 2.0
    08/01/2007 13:35 <REP> OpenSource Flash Video Splitter
    16/12/2006 01:37 <REP> Outlook Express
    01/02/2007 20:24 <REP> PacificPoker
    23/05/2006 20:03 <REP> PartyGaming
    08/10/2005 10:03 <REP> PartyPoker
    10/04/2005 10:16 <REP> PC-Doctor for Windows
    05/01/2006 10:29 <REP> PDF Editeur 2
    21/03/2007 19:24 <REP> PKR
    19/03/2007 10:21 <REP> PPLive
    02/10/2005 19:34 <REP> ppStream
    25/03/2007 20:01 <REP> ProcDate
    05/08/2006 16:40 <REP> QuickTime
    22/04/2006 09:17 <REP> RADVideo
    11/07/2005 23:12 <REP> Real
    08/01/2007 13:35 <REP> RealMedia
    30/03/2007 18:08 <REP> Save
    25/02/2003 18:10 <REP> Services en ligne
    08/01/2007 13:35 <REP> SHOUTcast Source
    10/04/2005 10:04 <REP> Sonic
    04/08/2005 19:47 <REP> Sony Corporation
    21/10/2005 09:42 <REP> Sports Interactive
    10/06/2006 07:58 <REP> Spybot - Search & Destroy
    06/09/2005 13:34 <REP> Symantec
    10/04/2005 09:34 <REP> Synaptics
    10/04/2005 09:53 <REP> ThinkPad
    11/03/2004 13:27 40ÿ960 Uninstall_CDS.exe
    02/07/2005 08:09 <REP> USB Driver-Express
    19/07/2005 17:16 <REP> VideoLAN
    09/01/2007 15:30 <REP> Webteh
    01/06/2006 21:26 <REP> Windows Defender
    27/01/2007 20:53 <REP> Windows Live Toolbar
    12/08/2006 09:49 <REP> Windows Media Player
    25/02/2003 18:09 <REP> Windows NT
    12/03/2006 19:44 <REP> WinISO
    24/07/2005 22:06 <REP> WinRAR
    25/02/2003 18:14 <REP> xerox
    1 fichier(s) 40ÿ960 octets
    105 R‚p(s) 11ÿ221ÿ856ÿ256 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    mysearchnow.com REG_SZ
    www.mysearchnow.com REG_SZ
    lop.com REG_BINARY
    www.lop.com REG_BINARY
    searchweb2.com REG_SZ
    www.searchweb2.com REG_SZ
    dns-look-up.com REG_BINARY
    www.dns-look-up.com REG_BINARY
    *.videosexe-fr.com REG_BINARY
    www35.ratp.info REG_BINARY
    *.cache.yacast.fr/ REG_BINARY
    *.webmessenger.msn.com/ REG_BINARY
    *.live.com/ REG_BINARY
    *.gallery.microsoft.com/ REG_BINARY
    *.entertainment.msn.com/radio REG_BINARY
    *.my.msn.com/video REG_BINARY
    *.launchcast.launch.yahoo.com/radio REG_BINARY
    *.stream1.adsertion.com/radio REG_BINARY
    www.wlsam.com REG_BINARY
    www.streamaudio.com REG_BINARY
    *.windowsmedia.com REG_BINARY
    netbios-wait.com REG_SZ
    www.netbios-wait.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ******************************************
    ## Registre

    * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    NameMfcdJumpKind REG_SZ C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd\Meta dale.exe

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Bonecast REG_SZ C:\DOCUME~1\jack\APPLIC~1\ProcDate\1joy.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonecast]
    command REG_SZ C:\DOCUME~1\jack\APPLIC~1\ProcDate\1joy.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NameMfcdJumpKind]
    command REG_SZ C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd\Roam Tons.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  9. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    cisou555

    Patiente encore un peu, j'arrive avec la procédure à suivre.

    Comment se comporte le PC pour le moment ?

    Al.
    0
  10. cisou555 Messages postés 7 Statut Membre
     
    il y a moins de pub mais il y a en a encore merci atres vite
    0
  11. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Me voilà enfin.

    Prends ton temps.

    Procédure DESINFECTION :

    1°- télécharger : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 >
    Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html >
    Ne pas l'utiliser tout de suite .

    - Restauration du système

    •- Clique droit sur "Poste de travail" -> "Propriétés" -> onglet "Restauration du système" -> tu coches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "Oui".
    •- Arrête et puis redémarre le PC
    •- Ensuite, tu décoches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "OK".

    3°- Crée un nouveau document texte.

    Pour cela : "clic-droit" de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ).
    - Ouvre-le, et "copie/colle" dedans ce qui est en caractères gras ci-dessous,
    ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 - )
    ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) :

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Bonecast"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NameMfcdJumpKind"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
    "Bonecast"=-
    "NameMfcdJumpKind"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "mysearchnow.com"=-
    "www.mysearchnow.com"=-
    "lop.com"=-
    "www.lop.com"=-
    "searchweb2.com"=-
    "www.searchweb2.com"=-
    "dns-look-up.com"=-
    "www.dns-look-up.com"=-
    "*.videosexe-fr.com"=-
    "www35.ratp.info"=-
    "*.cache.yacast.fr"=-
    "*.webmessenger.msn.com"=-
    "*.live.com"=-
    "*.gallery.microsoft.com"=-
    "*.entertainment.msn.com"=-
    "*.my.msn.com"=-
    "*.launchcast.launch.yahoo.com"=-
    "*.stream1.adsertion.com"=-
    "www.wlsam.com"=-
    "www.streamaudio.com"=-
    "*.windowsmedia.com"=-
    "netbios-wait.com"=-
    "www.netbios-wait.com"=-


    Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau "
    Dans "Nom du fichier" : taper par exemple " fix1.reg "
    Dans "Type de fichier" : choisir "tous les fichiers"
    Clic sur [enregistrer]

    L'icône de "fix1.reg" doit ressembler à cela "src="https://www.hiboox.com " mce_src="https://www.hiboox.com "

    3°- ATTENTION:

    •- Copie ce qui suit dans un fichier texte via Bloc-Notes
    ( tu n'auras plus accès ni à IE, ni à CCM durant la manip qui suit )
    - Pour cela : Ouvrir Bloc-Notes > copier, puis y coller le texte de la procédure ci-dessous.
    Clic sur Fichier > Enregistrer sous …choisir « Bureau » > Nom du fichier = désinfection.txt ( par exemple ) > clic sur [Enregistrer] > l’icône du fichier texte doit être visible sur le bureau . )

    •- Redémarre en mode sans échec
    (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre)
    :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

    4°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

    -O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
    -O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    -O2 - BHO: (no name) - {D7C6EE31-182B-2F95-4439-7B0D4370F899} - C:\DOCUME~1\jack\APPLIC~1\BIASAC~1\army multi.exe (file missing)
    -O4 - HKLM\..\Run: [NameMfcdJumpKind] C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd\Meta dale.exe
    -O4 - HKCU\..\Run: [Bonecast] C:\DOCUME~1\jack\APPLIC~1\ProcDate\1joy.exe
    -O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
    -O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linkprd.exe /res
    -O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    -O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    -O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1071_em_XP.cab


    Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]

    5°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher "masquer les fichiers protégés du système d'exploitation (recommandé)"
    •- puis "appliquer" et "ok"

    6°- Désinstalle ces applications (si tu les trouves)
    Fais démarrer>>panneau de configuration>>"ajout/suppr de programme" et clique une fois sur ceux-là:

    "Adverts" que tu supprimes.
    "ProcDate" que tu supprimes.

    Puis sur "MessengerPlus! 3"
    -Clique sur le bouton "Modifier/Supprimer"
    -Sélectionne la 1ère option : "Désinstaller le sponsor uniquement".
    -Clique ensuite sur "Désinstaller"
    Comme ça tu peux toujours utiliser ton programme mais sans être pollué de tout un tas de cochonneries.

    7°- Supprime les dossiers incriminés (s'ils existent encore)
    C:\Program Files\Adverts <--- le dossier
    C:\Program Files\BitTorrent <--- le dossier
    C:\Program Files\eoRezo <--- le dossier
    C:\Program Files\MessengerPlus! 3 <--- le dossier
    C:\Program Files\ProcDate <--- le dossier
    C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd <--- le dossier
    C:\Documents and Settings\jack\Application Data\BitTorrent <--- le dossier
    C:\Documents and Settings\jack\Application Data\ProcDate <--- le dossier

    8°- "démarrer"/"exécuter" > copier/coller ceci :

    cmd /c del /a C:\WINDOWS\Tasks\AB52905191A5025D.job

    et valide par [entrée].

    9°- double-clique sur " fix.reg " pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ? "
    Si c'est bien le cas, clique sur "oui"

    10°- Nettoyage des fichiers inutiles

    Dans la barre de menus ( au-dessus ), clic sur "Outils" > "Options Internet" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer le cookies...]; fais la même chose avec [supprimer les fichiers... ]: < http://img221.imageshack.us/img221/416/screenshot273cl3.gif >.
    Faire ça tous les jours.

    Utiliser: ATF-Cleaner lire le tuto.

    11°- Redémarre normalement.

    12°- Clic sur "Démarrer"/"panneau de configuration"/"options internet"
    - onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
    electronic-group
    egroup
    Montorgueil
    VIP
    "Sunny Day Design Ltd"


    Tu les supprimes.

    13°- Poste un dernier log HJT
    Relance un scan Panda et donne son rapport.

    Dis-moi comment se comporte le PC .
    ( As-tu toujours les mêmes soucis ? )

    SVP
    Merci pour ton courage.
    Al
    0
    1. cisou555 Messages postés 7 Statut Membre
       
      merci tout est rentre dans l ordre
      0
  12. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir cisou555

    J'ai besoin de lire ces deux rapports SVP; pour vérifier l'action/efficacité des manipulations demandées et effectuées.

    Je compte sur toi.

    Supprime ces outils devenus inutiles :
    -LopXPMH2 Bêta
    -Navifix/navilog1.zip et ses composants :
    (* blbetac.exe
    * blbeta.exe
    * navilog1.bat
    * Process,exe
    * regnavi.reg
    * traiteregfsbl.bat
    * traitementfsbl.bat
    * le dossier backupnavi )

    Crèe un nouveau point de restauration, vois comment :
    < http://perso.orange.fr/jesses/Docs/Bases/CreerRestaur.htm >
    < http://www.aidoforum.com/tutoriaux-371-creer-un-point-de-restauration-sous-windows.html >

    Al.
    0