[virus] Pop up a gogo, virus sous le capot:( Résolu/Fermé

Question

Bonjour,
j'ai besoin d'aide! je suis infecté par un programme, surement une sorte de ver, qui me lance des pop up à tout va, notament pour des antivirus, ou d'autre pub en fonction de ce que je regarde sur la toile.
J'ai essayé de suivre des post, mais il me semble finalement qu' a chaque virus son remède.
J' ai un premier rapport a fournir, celui de smitfraud:

SmitFraudFix v2.153

Rapport fait à 22:29:31,75, 23/03/2007
Executé à partir de C:\Fichiers Installation Programme\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Tofi Tofo


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Tofi Tofo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\TOFITO~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Voila, j'espere que quelqu'un aura le temps de se pencher sur mon problème.
Salut.

papyber · Answer

télécharge GenProc sur ton bureau
 http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

cristof77 · Answer

Bonjour papyber, merci de ton aide.

Le rapport est en fait un tutoriel. J'imagine que la procedure indiquée est fonction de l'etat de mon système. Je suis donc la procedure.

cristof77 · Answer

oups, j'oubliai le rapport:
Rapport GenProc 0.33 effectué le 30/03/2007 à 20:35:51,78 - SystemRoot = C:\WINDOWS 

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 

heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
# Etape 1/ Télécharge :  
  
- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU). 
 
* Fais un clic droit sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU). 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici 

https://docs.microsoft.com/en-us/?mfr=true (choisis 

ta session courante "Tofi Tofo") ***** 
 
 
# Etape 2/ 
 
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une 

touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. 

Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous 
 
# Etape 3/ 
 
Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois. 
 
# Etape 4/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 5/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici 

http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ; 
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail  C:\ ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

cristof77 · Answer

Voila, la manoeuvre accomplie, je post le rapport hijackthis.
Je n'est pas rencontrer de problème dans la procédure, tout s'est deroulé comme prevu par le tutoriel. A priori le virus est bien eliminé! wouhou!
Merci, bon courage pour les autres qui aurait le même probleme.

Le rapport hijack this:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:06:31, on 30/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\program files\onlineeye pro\onlineeye.exe
C:\Program Files\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
C:\program files\u-storage tool2.9\ustorage.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\super copieur\SuperCopier.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\System32\DeltaPnl.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Fichiers Installation Programme\analyse de virus\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus securite
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https://multiproxy.org/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [fdiskdumpp] C:\Program Files\fdiskdumpp.exe
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\program files\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.9\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tool2.9
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O15 - Trusted Zone: *.hotmail.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.passport.com 
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_1001680_world.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c356.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1226B37-DD3B-44F8-923A-31450D17F0D4}: NameServer = 194.117.200.10,194.117.200.15
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcappcapd.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

papyber · Answer

fais quand même un snan en ligne
http://pandasoftware.fr

cristof77 · Answer

bonjour,
je n'est tj pas de problemes, du moins je croyai: internet explorer quitte avant la fin de l'analyse. J'ai testé plusieurs fois, rien n'i fait. Aurais tu un autre site d' analyse en ligne? qu'en pense tu?

papyber · Answer

on est loin d'avoir terminé il en reste
refais un GenProc, voir ce qu'il nous sort

si le rapport est négatif, fais ceci

Télécharge clean.zip, 
http://www.malekal.com/download/clean.zip 

décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et 
copier/coller le contenu ici C:\rapport_clean.txt

cristof77 · Answer

ok, zut alors. Voici le 2eme rapport genproc, qui m'indique de nouveau une marche a suivre, donc je le considere comme negatif:

Rapport GenProc 0.33 effectué le 03/04/2007 à 10:04:19,31 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU). 
 
* Fais un clic droit sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU). 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici 

https://docs.microsoft.com/en-us/?mfr=t

rue (choisis ta session courante "Tofi Tofo") ***** 
 
 
# Etape 2/ 
 
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu 

appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques 

minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous 
 
# Etape 3/ 
 
Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois. 
 
# Etape 4/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 5/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici 

http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ; 
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail  C:\ ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.







Et le rapport clean:

Rapport clean par Malekal_morte - http://www.malekal.com 
Option 1, executee le 03/04/2007 a 10:09:04,31 
 
*** Recherche de fichiers sur C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\eraseme_?????.exe FOUND 
C:\WINDOWS\system32\ide21201.vxd FOUND 
C:\WINDOWS\system32\RadLightMPCUninstall.exe FOUND 
"C:\WINDOWS\Downloaded Program 

Files\*_*_*NetInstaller.exe" FOUND 
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" 

FOUND 
"C:\WINDOWS\Downloaded Program Files\CONFLICT.2" 

FOUND 
"C:\WINDOWS\Downloaded Program Files\HbInstIE.dll" 

FOUND 
 
"C:\Program Files\Fichiers communs\WinSoftware\" FOUND 
"C:\Program Files\Fichiers communs\WinSoftware\" FOUND 
*** Fin du rapport ! 




  J'attend la suite des instructions! Encore merci de m'aider c'est vraiment sympa ce systeme de communauté.

papyber · Answer

j'aimerais bien que tu me donnes le 1er rapport navipromo parce qu'il semblerait que tout ne soit pas parti
et fais ceci
Télécharge Blacklight (le 1er de la page)
https://europe.f-secure.com/exclude/blacklight/index.shtml
 
Enregistre le sur ton Bureau.
Double-clique blbeta.exe 
Clique sur "I ACCEPT" .
clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

poste ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite car des fichiers légitimes peuvent être présents,  tel wbemtest.exe

cristof77 · Answer

VOici le 1er rapport navipromo:

Rapport Navipromo.bat 0.73 effectué le 30/03/2007 à 22:37:14,34
C:\Documents and Settings\Tofi Tofo\Bureau\Navipromo073
L'opération se déroule en mode sans échec sous le compte "Tofi Tofo" 

** Recherche...

1/ qcdbxymker trouvé, recherche de qcdbxymker* 
C:\WINDOWS\system32\qcdbxymker.dat
C:\WINDOWS\system32\qcdbxymker.exe
C:\WINDOWS\system32\qcdbxymker_nav.dat
C:\WINDOWS\system32\qcdbxymker_navps.dat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    qcdbxymker	REG_SZ	c:\windows\system32\qcdbxymker.exe qcdbxymker

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode 

################################################

** Nettoyage...

1/ Déplacement de qcdbxymker* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\qcdbxymker* déplacé avec succès !

 ------------------
* Suppression clés et valeurs de registre 
1 entrées de registre netttoyées 

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\qcdbxymker.dat
C:\Navipromo\Backups\qcdbxymker.exe
C:\Navipromo\Backups\qcdbxymker_nav.dat
C:\Navipromo\Backups\qcdbxymker_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression






J'ai effectué le scan blacklight, mais il ne trouve rien. No hidden item found ou quelque chose comme ca. VOici le rapport:

04/03/07 16:27:46 [Info]: BlackLight Engine 1.0.61 initialized
04/03/07 16:27:46 [Info]: OS: 5.1 build 2600 (Service Pack 1)
04/03/07 16:27:46 [Note]: 7019 4
04/03/07 16:27:46 [Note]: 7005 0
04/03/07 16:28:00 [Note]: 7006 0
04/03/07 16:28:00 [Note]: 7011 1688
04/03/07 16:28:01 [Note]: 7026 0
04/03/07 16:28:01 [Note]: 7026 0
04/03/07 16:28:03 [Note]: FSRAW library version 1.7.1021
04/03/07 16:31:37 [Note]: 2000 1012
04/03/07 16:31:37 [Note]: 2000 1012
04/03/07 16:31:37 [Note]: 2000 1012
04/03/07 16:31:51 [Note]: 7007 0

papyber · Answer

supprimes les dossiers navipromo et BFU ainsi que GenProc 

Télécharge clean.zip,
http://www.malekal.com/download/clean.zip

décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et
copier/coller le contenu ici C:\rapport_clean.txt

cristof77 · Answer

le rapport clean, le deuxieme donc. j'ai effacé l'ancien dossier clean.

Rapport clean par Malekal_morte - http://www.malekal.com 
Option 1, executee le 03/04/2007 a 17:00:50,95 
 
*** Recherche de fichiers sur C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\eraseme_?????.exe FOUND 
C:\WINDOWS\system32\ide21201.vxd FOUND 
C:\WINDOWS\system32\RadLightMPCUninstall.exe FOUND 
"C:\WINDOWS\Downloaded Program Files\*_*_*NetInstaller.exe" FOUND 
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND 
"C:\WINDOWS\Downloaded Program Files\CONFLICT.2" FOUND 
"C:\WINDOWS\Downloaded Program Files\HbInstIE.dll" FOUND 
 
"C:\Program Files\Fichiers communs\WinSoftware\" FOUND 
"C:\Program Files\Fichiers communs\WinSoftware\" FOUND 
*** Fin du rapport !

papyber · Answer

Redémarre en mode sans échec  sans accès à Internet.
Ouvre le dossier jaune nommé clean sur ton bureau.
Double-clique sur clean.cmd
Choisis l'option 2 et copie sur le bureau le rapport généré.
Si une fenêtre s'ouvre, laisse-la.
Clique sur Q pour quitter le programme.
Redémarre normalement.

cristof77 · Answer

voivi le rapport clean effectué en mode sans echec. J'ai eu quelques petits problèmes: clean s'est tout d'abord lancé, mais est resté sur une fenetre "nettoyage de disque, recherce sur d:/ de quoi libéré de l'espace ou compressé les fichier, ou quelque chose dans le genre" je n'est malheuresement pas noté ca exactement. Il etait donc bloqué depuis plus d'un quart d'heure, je l'est alors coupé puis relancé. Il m' a d'abord indiqué, dans la fenetre noir, "syntaxe de nom de fichier, de repertoire ou de volume incorecte", et d'ailleur il l'indique a chaque fois je crois, c'est peut etre normal. Il m' a ensuite sortit un rapport, que voici:

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Option 2, executee le 03/04/2007 a 18:18:25,07 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression de fichiers sur C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

papyber · Answer

comment va le PC toujours des soucis?

cristof77 · Answer

en fait depuis le premier tuto que j'ai suivi y'a plus de problèmes. Juste ce black light qui ne voulait pas se charger, sinon tout a l'air de rouler.

papyber · Answer

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration



si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation : 
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse. 
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions " 
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
ne laisse pas le résident car à la fin de la période d'essai, tu ne pourras plus t'en servir mais tu pourras toujours faire les mises à jour avant de scanner

tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger 
j'ai découvert ce lien qui est plutôt pas mal à ce sujet 
https://forum.pcastuces.com/default.asp

indique ton sujet comme résolu
et bon surf

cristof77 · Answer

encore moi!
J'ai installé avg antispyware (j'avais deja avg7 et avg free) et effectué une analyse, et apparement il en reste encore un bon paquet! Plus de 60! Je te met le rapport:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	02:43:35 04/04/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Aucune action entreprise.
HKLM\SOFTWARE\Avenue Media -> Adware.InternetOptimizer : Aucune action entreprise.
HKLM\SOFTWARE\Avenue Media\Internet Optimizer -> Adware.InternetOptimizer : Aucune action entreprise.
HKLM\SOFTWARE\Avenue Media\Internet Optimizer\Browser Helper -> Adware.InternetOptimizer : Aucune action entreprise.
HKLM\SOFTWARE\Avenue Media\Internet Optimizer\Browser Helper\cf1 -> Adware.InternetOptimizer : Aucune action entreprise.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer -> Adware.InternetOptimizer : Aucune action entreprise.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kapabout -> Adware.InternetOptimizer : Aucune action entreprise.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\AMeOpt -> Adware.InternetOptimizer : Aucune action entreprise.
HKLM\SOFTWARE\Policies\Avenue Media -> Adware.InternetOptimizer : Aucune action entreprise.
HKU\S-1-5-21-1957994488-1343024091-839522115-1003\Software\Avenue Media -> Adware.InternetOptimizer : Aucune action entreprise.
HKU\S-1-5-21-1957994488-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Adware.InternetOptimizer : Aucune action entreprise.
HKU\S-1-5-21-1957994488-1343024091-839522115-1003\Software\Policies\Avenue Media -> Adware.InternetOptimizer : Aucune action entreprise.
HKU\S-1-5-21-1957994488-1343024091-839522115-1003\Software\IST -> Adware.ISTBar : Aucune action entreprise.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DyFuCA -> Adware.MoneyTree : Aucune action entreprise.
E:\Emule receive\Native Instruments Absynth 4 crack.zip/analog factory crack serial.exe -> Adware.Stud : Aucune action entreprise.
HKLM\SOFTWARE\Classes\MediaAccX.Installer -> Adware.WinAd : Aucune action entreprise.
HKLM\SOFTWARE\Classes\MediaAccX.Installer\CLSID -> Adware.WinAd : Aucune action entreprise.
HKLM\SOFTWARE\Classes\YSBactivex.Installer -> Adware.YourSiteBar : Aucune action entreprise.
HKLM\SOFTWARE\Classes\YSBactivex.Installer\CLSID -> Adware.YourSiteBar : Aucune action entreprise.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\QH6BMZOT\deds2[1].exe/mtu.bat -> Backdoor.Secdrop.fw : Aucune action entreprise.
C:\RECYCLER\S-1-5-21-1957994488-1343024091-839522115-1003\Dc15\Backups\Heuristic\prodsrvs.exe.off -> Dialer.InstantAccess.am : Aucune action entreprise.
:mozilla.20:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@247realmedia[2].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.92:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@heavycom.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@adbrite[1].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.43:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Adtech : Aucune action entreprise.
:mozilla.44:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Adtech : Aucune action entreprise.
:mozilla.12:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.13:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.14:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.39:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@atdmt[1].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
:mozilla.42:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
:mozilla.53:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.54:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.55:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.68:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.40:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@fastclick[2].txt -> TrackingCookie.Fastclick : Aucune action entreprise.
:mozilla.10:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Imrworldwide : Aucune action entreprise.
:mozilla.9:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Imrworldwide : Aucune action entreprise.
:mozilla.60:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
:mozilla.78:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.79:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.80:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.81:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.82:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.83:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.38:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.93:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
C:\Program Files\Ableton\Live 3.0\Program\abl3_crk.exe -> Trojan.Feutel.av : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\354fx.exe/ransy.reg -> Trojan.LowZones.f : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\354fx.exe/rany.reg -> Trojan.LowZones.f : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\e8ad79.exe/ransy.reg -> Trojan.LowZones.f : Aucune action entreprise.
C:\Documents and Settings\Tofi Tofo\e8ad79.exe/rany.reg -> Trojan.LowZones.f : Aucune action entreprise.


Fin du rapport


C'est coriace ces saloperies. Que me conseil-tu? Encore merci de ton aide.

papyber · Answer

déjà je lis "aucune action entreprise"
donc tu recommence et tu fais "appliquer toutes les actions" à la fin du scan, cela va déjà bien nettoyer et tu me mets le rapport avec un hijack this

cristof77 · Answer

bonjour,
je suis désolé pour cette periode d'absence, j'espere que tu pourra encore m'aider. Voici le rapport avg anti spareware (j'ai donc cette fois ci cliqué sur appliquer toutes les actions), et le rapport hijack this.

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	15:56:18 15/04/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Avenue Media -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Avenue Media\Internet Optimizer -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Avenue Media\Internet Optimizer\Browser Helper -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Avenue Media\Internet Optimizer\Browser Helper\cf1 -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kapabout -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\AMeOpt -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Policies\Avenue Media -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1957994488-1343024091-839522115-1003\Software\Avenue Media -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1957994488-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1957994488-1343024091-839522115-1003\Software\Policies\Avenue Media -> Adware.InternetOptimizer : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1957994488-1343024091-839522115-1003\Software\IST -> Adware.ISTBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DyFuCA -> Adware.MoneyTree : Nettoyé et sauvegardé (mise en quarantaine).
E:\Emule receive\Native Instruments Absynth 4 crack.zip/analog factory crack serial.exe -> Adware.Stud : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\MediaAccX.Installer -> Adware.WinAd : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\MediaAccX.Installer\CLSID -> Adware.WinAd : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\YSBactivex.Installer -> Adware.YourSiteBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\YSBactivex.Installer\CLSID -> Adware.YourSiteBar : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\QH6BMZOT\deds2[1].exe/mtu.bat -> Backdoor.Secdrop.fw : Nettoyé et sauvegardé (mise en quarantaine).
C:\RECYCLER\S-1-5-21-1957994488-1343024091-839522115-1003\Dc15\Backups\Heuristic\prodsrvs.exe.off -> Dialer.InstantAccess.am : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.104:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.12:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.42:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@heavycom.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.129:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.130:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.125:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.126:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.127:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.34:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.61:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@as.casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@promo.casinotropez[2].txt -> TrackingCookie.Casinotropez : Nettoyé.
:mozilla.136:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.137:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.138:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.45:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.74:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@media.fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@ehg-quechoisir.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.123:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.124:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.94:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
:mozilla.108:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.109:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.110:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.111:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.112:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.113:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.76:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyé.
:mozilla.77:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyé.
:mozilla.63:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.64:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.65:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.117:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Specificclick : Nettoyé.
:mozilla.118:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Specificclick : Nettoyé.
:mozilla.119:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Specificclick : Nettoyé.
:mozilla.120:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Specificclick : Nettoyé.
:mozilla.57:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.58:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.78:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.79:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.80:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.53:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.54:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.55:C:\Documents and Settings\Tofi Tofo\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\Documents and Settings\Tofi Tofo\Cookies	ofi tofo@zedo[1].txt -> TrackingCookie.Zedo : Nettoyé.
C:\Program Files\Ableton\Live 3.0\Program\abl3_crk.exe -> Trojan.Feutel.av : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Tofi Tofo\354fx.exe/ransy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Tofi Tofo\354fx.exe/rany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Tofi Tofo\e8ad79.exe/ransy.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Tofi Tofo\e8ad79.exe/rany.reg -> Trojan.LowZones.f : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport





Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:59:15, on 15/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\program files\onlineeye pro\onlineeye.exe
C:\Program Files\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
C:\program files\u-storage tool2.9\ustorage.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\super copieur\SuperCopier.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Soulseek\slsk.exe
C:\WINDOWS\System32\DeltaPnl.EXE
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Fichiers Installation Programme\analyse de virus\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus pop up a gogo virus sous le capot
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https://multiproxy.org/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [fdiskdumpp] C:\Program Files\fdiskdumpp.exe
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\program files\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.9\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tool2.9
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O15 - Trusted Zone: *.hotmail.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.passport.com 
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_1001680_world.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c356.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1226B37-DD3B-44F8-923A-31450D17F0D4}: NameServer = 194.117.200.10,194.117.200.15
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcappcapd.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - https://upload.wikimedia.org/wikipedia/commons/0/0c/Lotus2mq.jpg

papyber · Answer

si tu télécharges des cracks, 

E:\Emule receive\Native Instruments Absynth 4 crack.zip/analog factory crack serial.exe -> Adware.Stud : Nettoyé et sauvegardé (mise en quarantaine

comment veux tu que l'on te désinfecte???tu te réinfectes au fur et à mesure!!!
désolé, je stoppe ici

fais ceci 

fais un scan en ligne sur l’un de ces sites
http://pandasoftware.fr
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
http://www.bitdefender.fr/scan8/ie.html
http://www.secuser.com/outils/antivirus.htm
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=fr&venid=sym

et arrete le crack

cristof77 · Answer

ok,
merci de m'avoir accordé ton aide. J'avou me servir de crack, dans le domaine de l'audio.
Je vais tester les scanner en ligne que tu m'indique. 
Bonne route.
Christophe.

cristof77 · Answer

(par contre, en relisan je me disai juste: je n'est pas télechargé de crack depuis le debut de notre thérapie! Voila, juste pour préciser. Allez, a une prochaine.)

papyber · Answer

désolé, un coup de colère en voyant comme tu t'étais réinfecté depuis l'autre jour où tout était pratiquement bon
poste moi le rapport de scan en ligne
supprime tous tes cracks et on va encore une fois essayer de nettoyer ce Pc

cristof77 · Answer

pas de soucis je comprend. Mais malheuresement j'ai affreusement besoin de certain des  logiciels cracké que j'utilise (nuendo, reason et soundforge) : dans le cadre de mes études, j'ai a faire des projets (pour bientôt en plus) musicaux, je ne pourrais les désinstallé qu'apres mes examens, en septembre.
Pour note, je peut désinstallé celui que tu a noté (absynth native instrument), mais j'ai vraiment besoin des trois ecrit plus haut. Ils tournent tous bien depuis longtemps, je n'est pas noté de souci apres leur installation.
Je suis désolé si je t'ai fait perdre ton temps.
On arrette tout pour l'instant?

papyber · Answer

ok, supprime ceux qui sont infectés, on continue, j'ai aussi des enfants qui  poursuivent  leurs études
qu'a donné le scan en ligne?
refais GenProc
puis avg en mode sans echec
puis un nouvel hjack en mode normal
et poste les rapports
à demain

cristof77 · Answer

Bonjour,
ok, j'ai donc supprimé les fichiers crack mis en quarantaine dans avg. Par contre je comprend pas grand chose au rapport hi jack this.

Le rapport de kaspersky on line:


   KASPERSKY ON-LINE SCANNER REPORT
Tuesday, April 17, 2007 11:47:58 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 17/04/2007
Enregistrements dans la base antivirus Kaspersky : 298407
Paramètres d'analyse
Analyser avec la base antivirus suivante 	étendue
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
Statistiques de l'analyse
Total d'objets analysés 	102445
Nombre de virus trouvés 	7
Nombre d'objets infectés 	24 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	01:10:40

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Documents and Settings\All Users\Application Data\Avg7\Log\emc.log 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est 

verrouillé 	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Bureau\clean\clean\pskill.exe 	Infecté : not-a-virus:RiskTool.Win32.PsKill.k 	ignoré
C:\Documents and Settings\Tofi Tofo\Bureau\clean.zip/clean/pskill.exe 	Infecté : not-a-virus:RiskTool.Win32.PsKill.k 	ignoré
C:\Documents and Settings\Tofi Tofo\Bureau\clean.zip 	ZIP: infecté - 1 	ignoré
C:\Documents and Settings\Tofi Tofo\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\Cache\_CACHE_001_ 	

L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\Cache\_CACHE_002_ 	

L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\Cache\_CACHE_003_ 	

L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Application Data\Mozilla\Firefox\Profiles\gbq09syz.default\Cache\_CACHE_MAP_ 	

L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Historique\History.IE5\MSHist012007041720070418\index.dat 	L'objet est 

verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temp	ara.log 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temp\~DF3B30.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temp\~DF6777.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temp\~DF7FA2.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	

ignoré
C:\Documents and Settings\Tofi Tofo\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\UserData\index.dat 	L'objet est verrouillé 	ignoré
C:\Fichiers Installation Programme\analyse de virus\clean.zip/clean/pskill.exe 	Infecté : not-a-virus:RiskTool.Win32.PsKill.k 	

ignoré
C:\Fichiers Installation Programme\analyse de virus\clean.zip 	ZIP: infecté - 1 	ignoré
C:\Fichiers Installation Programme\vst\SmitfraudFix\Reboot.exe 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\itouch_crash_info.txt 	L'objet est verrouillé 	ignoré
C:\Program Files\Club-Internet\Dr Club Internet\log\mpbtn.log 	L'objet est verrouillé 	ignoré
C:\Program Files\fred krumpl amerika 

power\Serv-U.v4.1.Professional.Edition-RORorsu410.rar/ROR/susetup.exe/SERVUDAEMON.EXE 	Infecté : 

not-a-virus:Server-FTP.Win32.Serv-U.4100 	ignoré
C:\Program Files\fred krumpl amerika power\Serv-U.v4.1.Professional.Edition-RORorsu410.rar/ROR/susetup.exe 	Infecté : 

not-a-virus:Server-FTP.Win32.Serv-U.4100 	ignoré
C:\Program Files\fred krumpl amerika power\Serv-U.v4.1.Professional.Edition-RORorsu410.rar 	RAR: infecté - 2 	ignoré
C:\Program Files\MUSK Codec Pack v5\5.1\5.1.exe/stream/data0019 	Infecté : not-a-virus:AdWare.Win32.Gator.3202 	ignoré
C:\Program Files\MUSK Codec Pack v5\5.1\5.1.exe/stream 	Infecté : not-a-virus:AdWare.Win32.Gator.3202 	ignoré
C:\Program Files\MUSK Codec Pack v5\5.1\5.1.exe 	NSIS: infecté - 2 	ignoré
C:\Program Files\Onlineeye Pro\data\online.eye 	L'objet est verrouillé 	ignoré
C:\Program Files\Onlineeye Pro\dataealtime_data.csv 	L'objet est verrouillé 	ignoré
C:\Program Files\Onlineeye Pro\ONLINEEYE_CONNECTION.TXT 	L'objet est verrouillé 	ignoré
C:\Program Files\Onlineeye Pro\ONLINEEYE_LOG.TXT 	L'objet est verrouillé 	ignoré
C:\Program Files\Winamp\Plugins\AudioScrobbler.log.txt 	L'objet est verrouillé 	ignoré
C:\RECYCLER\S-1-5-21-1957994488-1343024091-839522115-1003\Dc15\Backups\qcdbxymker.exe.off 	Infecté : 

not-a-virus:AdWare.Win32.NaviPromo.gen 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP6\A0001527.exe/data.rar/ransy.reg 	

Infecté : Trojan.WinREG.LowZones.f 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP6\A0001527.exe/data.rar/rany.reg 	

Infecté : Trojan.WinREG.LowZones.f 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP6\A0001527.exe/data.rar 	Infecté : 

Trojan.WinREG.LowZones.f 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP6\A0001527.exe 	RarSFX: infecté - 3 	

ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP6\A0001528.exe/data.rar/ransy.reg 	

Infecté : Trojan.WinREG.LowZones.f 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP6\A0001528.exe/data.rar/rany.reg 	

Infecté : Trojan.WinREG.LowZones.f 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP6\A0001528.exe/data.rar 	Infecté : 

Trojan.WinREG.LowZones.f 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP6\A0001528.exe 	RarSFX: infecté - 3 	

ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP8\change.log 	L'objet est verrouillé 	

ignoré
C:\WINDOWS\Debug\oakley.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\drivers\oUltraf.sys 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
E:\Le dvd de remi vallée\TempImage.nrg/$OEM$/$$/system32/cmdow.exe;1 	Infecté : not-a-virus:RiskTool.Win32.HideWindows 	

ignoré
E:\Le dvd de remi vallée\TempImage.nrg/$OEM$/$$/system32/hid.exe;1 	Infecté : not-a-virus:RiskTool.Win32.HideWindows 	

ignoré
E:\Le dvd de remi vallée\TempImage.nrg 	ISO image: infecté - 2 	ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
Analyse terminée.









Celui de genproc (je crois que ca te sert a rien, mais dans le doute je post quand même!):




Rapport GenProc 0.44 [1] effectué le 17/04/2007 à 12:46:44,42 - SystemRoot = C:\WINDOWS 

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus 

vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
# Etape 1/ Télécharge :  
  
- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU). 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici 

https://docs.microsoft.com/en-us/?mf

r=true (choisis ta session courante "Tofi Tofo") ***** 
 
 
# Etape 2/ 
 
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu 

appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques 

minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous 
 
# Etape 3/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 4/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici 

http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ; 
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail  C:\ ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.








Apres ca, un rapport de avg plutôt positif ma foi!



---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	13:45:22 17/04/2007

 + Résultat de l'analyse:	



	Rien à signaler.



Fin du rapport


Pour info, j'ai fait un avg avant genproc, par oubli, et j'avai une 20ène de fichiers infectés, et un peu moins de 10 virus.




Le log de hijack this:



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:58:57, on 17/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\program files\onlineeye pro\onlineeye.exe
C:\Program Files\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
C:\program files\u-storage tool2.9\ustorage.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\super copieur\SuperCopier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Fichiers Installation Programme\analyse de virus\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

virus pop up a gogo virus sous le capot
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https://multiproxy.org/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [fdiskdumpp] C:\Program Files\fdiskdumpp.exe
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\program files\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program 

Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.9\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tool2.9
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [NvMediaCenter] RUNDLL32.EXE 

C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [swg] C:\Program 

Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [SuperCopier.exe] C:\Program Files\super 

copieur\SuperCopier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - 

%windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O15 - Trusted Zone: *.hotmail.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.passport.com 
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - 

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - 

http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - 

http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - 

http://www.ysbweb.com/ist/softwares/v4.0/ysb_1001680_world.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - 

https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - 

http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - 

https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c356.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - 

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - 

http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - 

http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - 

http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1226B37-DD3B-44F8-923A-31450D17F0D4}: NameServer = 

194.117.200.10,194.117.200.15
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - 

C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - 

C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers 

communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems 

Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - 

C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google 

Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - 

C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program 

Files\WinPcappcapd.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - https://upload.wikimedia.org/wikipedia/commons/0/0c/Lotus2mq.jpg

papyber · Answer

bon on a bien avancé tu as fait navipromo après GenProc? sinon tu le fais mais avant tu supprimes tout ce qui suit en gras, à savoir C:\Documents and Settings\Tofi Tofo\Bureau\clean\clean\pskill.exe Infecté (c'est l'outil que je t'avais fait installer et qui ne sert plus désormais) C:\Documents and Settings\Tofi Tofo\Bureau\clean.zip/clean/pskill.exe I (la même chose) C:\Fichiers Installation Programme\analyse de virus\clean.zip/clean/pskill.exe Infecté : (idem) C:\Fichiers Installation Programme\vst\SmitfraudFix\Reboot.exe Infecté (idem) C:\Program Files\fred krumpl amerikapower\ Serv-U.v4.1.Professional.Edition-ROR\rorsu410.rar/ROR/susetup.exe/SERVUDAEMON.EXE Infecté : ce log est virussé à fond C:\Program Files\MUSK Codec Pack v5\5.1\5.1.exe/stream Infecté : not-a-virus:AdWare.Win32.Gator.3202 ignoré (virussé aussi) E:\Le dvd de remi vallée\TempImage.nrg/$OEM$/$$/system32/cmdow.exe;1 Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré (virussé aussi) vide ta corbeille, désactive ta restauration et refais un scan en ligne après la manip de GenProc

cristof77 · Answer

donc voila j'ai tout refait, et supprimé les fichiers virussés, il en reste encore un peu, mais je me demande si navpromo.bat trouve ce qu'il faut : dans la manip genproc, il est écrit: 
   "S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le 

nettoyage soit lancé." Mais je ne voit pas de lignes défiler du tout.

le rapport kaspersky:

   KASPERSKY ON-LINE SCANNER REPORT
Tuesday, April 17, 2007 5:18:59 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 17/04/2007
Enregistrements dans la base antivirus Kaspersky : 298586
Paramètres d'analyse
Analyser avec la base antivirus suivante 	étendue
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
Statistiques de l'analyse
Total d'objets analysés 	91551
Nombre de virus trouvés 	3
Nombre d'objets infectés 	5 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	01:06:44

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Documents and Settings\All Users\Application Data\Avg7\Log\emc.log 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Historique\History.IE5\MSHist012007041720070418\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temp\fla1.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temp\~DF3ADC.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temp\~DF6B23.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Tofi Tofo
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\itouch_crash_info.txt 	L'objet est verrouillé 	ignoré
C:\Program Files\Club-Internet\Dr Club Internet\log\mpbtn.log 	L'objet est verrouillé 	ignoré
C:\Program Files\Onlineeye Pro\data\online.eye 	L'objet est verrouillé 	ignoré
C:\Program Files\Onlineeye Pro\dataealtime_data.csv 	L'objet est verrouillé 	ignoré
C:\Program Files\Onlineeye Pro\ONLINEEYE_CONNECTION.TXT 	L'objet est verrouillé 	ignoré
C:\Program Files\Onlineeye Pro\ONLINEEYE_LOG.TXT 	L'objet est verrouillé 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP8\A0001688.exe 	Infecté : not-a-virus:RiskTool.Win32.PsKill.k 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP8\A0001695.exe 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP8\A0001771.exe/stream/data0019 	Infecté : 

not-a-virus:AdWare.Win32.Gator.3202 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP8\A0001771.exe/stream 	Infecté : not-a-virus:AdWare.Win32.Gator.3202 	

ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP8\A0001771.exe 	NSIS: infecté - 2 	ignoré
C:\System Volume Information\_restore{638F5E7A-918C-450C-8CFF-039279459ABE}\RP8\change.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\oakley.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\drivers\oUltraf.sys 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
Analyse terminée.












Et je suis un peu perdu en fait, le scan a pris une heure, et je me demande si je devai te posté autre chose ou pas..








ah, le rapport navipromo:

Rapport Navipromo.bat 0.73 effectué le 17/04/2007 à 15:25:03,43
C:\Documents and Settings\Tofi Tofo\Bureau\Navipromo073
L'opération se déroule en mode sans échec sous le compte "Tofi Tofo" 

** Recherche...

Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode

Engagement de la méthode Heuristique

Rapport Navipromo.bat 0.73 effectué le 17/04/2007 à 15:25:03,53
L'opération se déroule en mode sans échec sous le compte "Tofi Tofo" 

## Suppression Heuristique 

* Backups :


Aucun résultat par la recherche heuristique  
 

## Fin du rapport Heuristique
 
-------------

Rapport Navipromo.bat 0.73 effectué le 17/04/2007 à 15:47:57,37
L'opération se déroule en mode sans échec sous le compte "Tofi Tofo" 

## Suppression Heuristique 

* Backups :


Aucun résultat par la recherche heuristique  
 

## Fin du rapport Heuristique

papyber · Answer

le scan en ligne n'a trouvé des fichiers infectés que dans ta restauration système
navipromo n'a rien trouvé ce qui me semble étrange vu que GenProc avait décelé quelque chose
as tu bien effectué la manip en entier ainsi que ceci?
* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous

si oui, poste moi le fichier texte qui se trouve dans GenProc arguments afin de voir ce qui n'a pas fonctionné
et fais ceci 

Télécharge LopXPMH sur ton Bureau. 
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2_Beta.zip 

 Dézippe-le et double clique sur le fichier lopxpMH.bat. 
 Poste le contenu du rapport qui va s'ouvrir.

puis ceci
Télécharge Blacklight (le 1er de la page)
https://europe.f-secure.com/exclude/blacklight/index.shtml

 
Enregistre le sur ton Bureau.
Double-clique blbeta.exe 
Clique sur "I ACCEPT" .
clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

poste ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite car des fichiers légitimes peuvent être présents,  tel wbemtest.exe

ceci
Télécharge SmitfraudFix  de S!Ri, balltrap34 et moe31 
http://siri.urz.free.fr/Fix
Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix. 
Utilisation ----- option 1 - Recherche : 
Double clique sur smitfraudfix.cmd  Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection. 
 Poste le rapport 
Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.

ceci

Télécharge clean.zip, de Malekal
http://www.malekal.com/download/clean.zip 

décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et 
copier/coller le contenu ici C:\rapport_clean.txt

installe toi un pare feu digne de ce nom

 et un nouveau hijack this
 on devrait voir enfin le bout du tunnel

cristof77 · Answer

bonjour.
Désolé pour ce moment de vide, mais j'etait absent.
J'ai donc réentammé une procedure, mais je suis bloqueé a un point: 



Télécharge LopXPMH sur ton Bureau. 
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2_Beta.zip 

le lien ne marche plus, et le fichiers similaire qu'il trouve n'est pas accéssible non plus (:Error 403 - Forbidden
L'accès au fichier requiert une autorisation.)




Je me suis arreté donc la pour l'instant, mais voici le compte rendu de ce que j'ai fait:

1) effacement de navipromo, retelecharger ensuite.
2) genproc, me sort le meme rapport, je refai la manip. (vr rapport navipromo et genproc argument), ne trouve pas l adware navipromo. j'ai effectué l'option "quelques verifications" pour essayé de resoudre ca. Je fait la suppression heuristique mais rien ne se passe. Pourtant le dossier navipromo est bien sur mon bureau.
3)j'ai effectué bfu, et, comme la derniere fois, je ne trouve pas les noms a éffacé dans les certificats. J'en avais par contre effacé lors de la premiere manip genproc.
4)j'ai efféctué un nettoyage avec c cleaner.
5)hijackthis

les rapports:

genproc arguments:
~~ Arguments ~~

# Détections 17/04/2007 12:46:44,42 - C:\Documents and Settings\Tofi Tofo\Bureau\GenProc\outil 

Navipromo:le 17/04/2007 à 12:46:45,09 HKCU\....\Lanconfig 

# Détections 20/04/2007 18:50:02,82 - C:\Documents and Settings\Tofi Tofo\Bureau\GenProc\outil 

Navipromo:le 20/04/2007 à 18:50:03,32 HKCU\....\Lanconfig 








LE RAPPORT NAVIPROMO:



Rapport Navipromo.bat 0.73 effectué le 20/04/2007 à 18:56:39,40
C:\Documents and Settings\Tofi Tofo\Bureau\Navipromo073
L'opération se déroule en mode sans échec sous le compte "Tofi Tofo" 

** Recherche...

Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode

Engagement de la méthode Heuristique

Rapport Navipromo.bat 0.73 effectué le 20/04/2007 à 18:56:39,46
L'opération se déroule en mode sans échec sous le compte "Tofi Tofo" 

## Suppression Heuristique 

* Backups :


Aucun résultat par la recherche heuristique  
 

## Fin du rapport Heuristique
 
-------------

Rapport Navipromo.bat 0.73 effectué le 20/04/2007 à 19:00:03,28
L'opération se déroule en mode sans échec sous le compte "Tofi Tofo" 

## Vérifications supplémentaires 

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux. 

* Navipromo

C:\WINDOWS\System32


* Trojan Nebula 



 * Trojan Vundo 

 
-------------

Rapport Navipromo.bat 0.73 effectué le 20/04/2007 à 19:02:06,95
L'opération se déroule en mode sans échec sous le compte "Tofi Tofo" 

## Suppression Heuristique 

* Backups :


 
Aucun résultat par la recherche heuristique  

## Fin du rapport Heuristique






LE RAPPORT HIJACKTHIS





Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:30:58, on 20/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\program files\onlineeye pro\onlineeye.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
C:\program files\u-storage tool2.9\ustorage.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\super copieur\SuperCopier.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32
otepad.exe
C:\Fichiers Installation Programme\analyse de virus\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus pop up a gogo virus sous le capot
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https://multiproxy.org/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [fdiskdumpp] C:\Program Files\fdiskdumpp.exe
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\program files\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.9\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tool2.9
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O15 - Trusted Zone: *.hotmail.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.passport.com 
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_1001680_world.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c356.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1226B37-DD3B-44F8-923A-31450D17F0D4}: NameServer = 194.117.200.10,194.117.200.15
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcappcapd.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - https://upload.wikimedia.org/wikipedia/commons/0/0c/Lotus2mq.jpg

papyber · Answer

il semblerait qu'il y ait encore quelque chose 
fais ceci
Télécharge VundoFix.exe (par Atribune) sur ton Bureau

http://www.atribune.org/ccount/click.php?id=4
clic double sur VundoFix.exe afin de le lancer
clic sur le bouton Scan for Vundo
Lorsque le scan est complété, clic sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clic YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
 Tu verras une invite qui t'annonce que ton PC va redémarrer; 
clic OK
 Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

cristof77 · Answer

il a rien trouvé!



VundoFix V6.3.19

Checking Java version...

Sun Java not detected
Scan started at 20:01:36 20/04/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...






hijackthis:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:05:17, on 20/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\program files\onlineeye pro\onlineeye.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
C:\program files\u-storage tool2.9\ustorage.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\super copieur\SuperCopier.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Fichiers Installation Programme\analyse de virus\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus pop up a gogo virus sous le capot
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https://multiproxy.org/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [fdiskdumpp] C:\Program Files\fdiskdumpp.exe
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\program files\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.9\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tool2.9
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O15 - Trusted Zone: *.hotmail.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.passport.com 
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_1001680_world.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c356.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1226B37-DD3B-44F8-923A-31450D17F0D4}: NameServer = 194.117.200.10,194.117.200.15
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcappcapd.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - https://upload.wikimedia.org/wikipedia/commons/0/0c/Lotus2mq.jpg

papyber · Answer

Escan : 
Antivirus puissant à utiliser en "mode sans échec" sur les cas difficiles où il est souvent d'une grande éfficacité; 

Étape 1: 
Télécharge eScan Antivirus Toolkit ici.
http://www.spywareinfo.dk/download/mwav.exe

 Sauvegarde-le sur ton Bureau. 
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. 

Étape 2: 
Voici comment mettre l'outil à jour : 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads). 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants. 

Ne pas lancer le scan tout de suite ! 

Étape 3: 
Redémarre en mode Sans Échec : 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisi la première option : Sans Échec, et valide avec "Entrée" 
5) Choisi ton compte régulier, et non Administrateur 


Étape 4: 
Du mode Sans Échec, voici comment utiliser le programme : 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran. 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

cristof77 · Answer

rien trouvé non plus!

Il a longuement scanné le disque C:/ (comme indiqué), et rien trouvé:

Fri Apr 20 21:08:48 2007 => ***** Scanning complete. *****
 
Fri Apr 20 21:08:48 2007 => Total Number of Files Scanned: 54522
Fri Apr 20 21:08:48 2007 => Total Number of Virus(es) Found: 0
Fri Apr 20 21:08:48 2007 => Total Number of Disinfected Files: 0
Fri Apr 20 21:08:48 2007 => Total Number of Files Renamed: 0
Fri Apr 20 21:08:48 2007 => Total Number of Deleted Files: 0
Fri Apr 20 21:08:48 2007 => Total Number of Errors: 11
Fri Apr 20 21:08:48 2007 => Time Elapsed: 00:42:36
Fri Apr 20 21:08:48 2007 => Virus Database Date: 2007/04/20
Fri Apr 20 21:08:48 2007 => Virus Database Count: 300022
 
Fri Apr 20 21:08:48 2007 => Scan Completed.

papyber · Answer

remets moi un rapport hijack this

cristof77 · Answer

hop


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:41:35, on 20/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\program files\onlineeye pro\onlineeye.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
C:\program files\u-storage tool2.9\ustorage.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\super copieur\SuperCopier.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Winamp\Winamp.exe
C:\WINDOWS\System32\DeltaPnl.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Fichiers Installation Programme\analyse de virus\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus pop up a gogo virus sous le capot
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https://multiproxy.org/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\program files\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.9\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tool2.9
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O15 - Trusted Zone: *.hotmail.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.passport.com 
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_1001680_world.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c356.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1226B37-DD3B-44F8-923A-31450D17F0D4}: NameServer = 194.117.200.10,194.117.200.15
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcappcapd.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - https://upload.wikimedia.org/wikipedia/commons/0/0c/Lotus2mq.jpg

papyber · Answer

tu es encore très infecté, tout ceci est mauvais...
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe 
O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"

cela te dis quoi ces programmes? c'est toi qui les a installés?
si non tu les cherches dans ajout suppression de programmes 
VIEW POINT DRIVERS
Microsoft Client/Server Runtime Server Subsystem
MS Unix Binary
WildTangent CDA

et tu les supprimes voir même en mode sans échec si tu n'y arrives pas en mode normal

puis tu lances hijack this et tu fixes les lignes si elles existent encore

papyber · Answer

tu me remets un hijack this après suppression de ces programmes aussi stp

cristof77 · Answer

Merde merde merde

non ca me dit pas grand chose.. 

  wildtangent je crois que c'est juste un jeu en ligne que j'ai du télecharger, j'ai lancer la désinstallation, qui a marché. C'etait un "vrai" programme de jeu en ligne, ils ont un site serieu aparament.
  view point driver je ne le trouve ni dans programme files (avec une recherche) ni dans ajout suppréssion..
  Microsoft Client/Server Runtime Server Subsystem pareil
  MS Unix Binary  pareil !



hijackthis:

    -O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe  n'apparait plus (j'ai rien fait de spécial dessus pourtant
    -4 - HKLM\..\Run: [WildTangent CDA] n'apparait plus non plus (je l'est désinstallé)

     -j'ai cheked: 
     O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe , qui apparait deux fois, j'ai cheké les deux
  et O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe 


le rapport:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:46:07, on 20/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\program files\onlineeye pro\onlineeye.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
C:\program files\u-storage tool2.9\ustorage.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\super copieur\SuperCopier.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\WINDOWS\System32\DeltaPnl.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\system32undll32.exe
C:\Fichiers Installation Programme\analyse de virus\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus pop up a gogo virus sous le capot
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https://multiproxy.org/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\program files\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech-clavier\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.9\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tool2.9
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User '?')
O4 - HKUS\S-1-5-21-1957994488-1343024091-839522115-1003\..\Run: [SuperCopier.exe] C:\Program Files\super copieur\SuperCopier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O15 - Trusted Zone: *.hotmail.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.passport.com 
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_1001680_world.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c356.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1226B37-DD3B-44F8-923A-31450D17F0D4}: NameServer = 194.117.200.10,194.117.200.15
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcappcapd.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - https://upload.wikimedia.org/wikipedia/commons/0/0c/Lotus2mq.jpg

papyber · Answer

pour ce soir il est trop tard pour moi, je n'ai plus 20 ans
je regarde demain matin et je te donne la suite 
on finira par les avoir ces virus!
mais installe toi un bon pare feu comme kério ou Zone alarme car tu te réinfectes plus vite que je ne désinfecte
à demain

cristof77 · Answer

ok super. Encore merci de ton soutien dans cette lutte!
Passe une bonne nuit.

papyber · Answer

ce qui m'ennuie c'est que je n'ai pas le chemin de
VIEW POINT DRIVERS (qui n'est pas parti) ni de  
Microsoft Client/Server Runtime Server Subsystem

tu vas essayer ceci
fais une recherche windows sur ces 2 noms ainsi que sur ceux ci

phqghum.exe
csrs.exe
et colle moi ce que tu obtiens, ne supprime rien, certtains peuvent être légitimes

cristof77 · Answer

Bonjour, bon dimanche. alors, pour VIEW POINT DRIVERS aucun resultat pour Microsoft Client/Server Runtime Server Subsystem pareil ! phqghum.exe toujours rien! csrs.exe, je te laisse deviner. J'ai ensuite tenté la recherche avec l'option rechercher dans le contenu des fichiers: j'ai trouvé: pour csrs.exe: dans CollectedData_645.xml et 1365 document XMl C:\WINDOWS\PCHealth\HelpCtr\DataColl . ce sont des ligne de code, PCHealth on dirai un programme. Pour view point drivers, avec le meme type de recherche, je l'est égelement trouver dans des fichiers xml PCHealth: (il l'ouvre avec internet explorer) CollectedData_1395.xml - - - - - - TOFI - - - C:\Program Files\MSI\Live Update 3\LMonitor.exe - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - LiveMonitor - All Users - - C:\Program Files\MSI\Live Update 3\LMonitor.exe - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - LiveMonitor - All Users - Delete - - - TOFI - - - phqghum.exe - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - VIEW POINT DRIVERS - All Users - - phqghum.exe - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - VIEW POINT DRIVERS - All Users - New - - - TOFI - - - phqghum.exe - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - VIEW POINT DRIVERS - .DEFAULT - - phqghum.exe - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - VIEW POINT DRIVERS - .DEFAULT - New - - - TOFI - - - phqghum.exe - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - VIEW POINT DRIVERS - AUTORITE NT\SYSTEM - - phqghum.exe - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - VIEW POINT DRIVERS - AUTORITE NT\SYSTEM - New - - - TOFI - - - phqghum.exe - HKU\S-1-5-21-1957994488-1343024091-839522115-1003\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run - VIEW POINT DRIVERS - TOFI\Tofi Tofo - - phqghum.exe - HKU\S-1-5-21-1957994488-1343024091-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n - VIEW POINT DRIVERS - TOFI\Tofi Tofo - New et je l'est égelement trouver dans un fichier texte "egd.txt" se situant directement sur c:/ C'est peut etre moi qui l'est installé dans une manip de désinfection avec toi, je ne me rappelle plus. Voici le texte: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" "fdiskdumpp"="C:\Program Files\fdiskdumpp.exe" "VIEW POINT DRIVERS"="phqghum.exe" "Look 'n' Stop"="\"C:\Program Files\Soft4Ever\looknstop\looknstop.exe\" -auto" "VersionCheck"="\"C:\Program Files\Onlineeye Pro\vcheck.exe\"" "OnlineTime"="\"c:\program files\onlineeye pro\onlineeye.exe\"" "WildTangent CDA"="\"C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe\" /startup \"C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll\"" "UpdReg"="C:\WINDOWS\UpdReg.EXE" "Logitech Utility"="Logi_MwX.Exe" "Cloneur Expert Monitor"="\"C:\Program Files\Cloneur Expert\TrueImageMonitor.exe\"" "Acronis Scheduler2 Service"="\"C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe\"" "WinampAgent"="C:\Program Files\Winamp\winampa.exe" "zBrowser Launcher"="C:\Program Files\Logitech-clavier\iTouch\iTouch.exe" "UStorag"="c:\program files\u-storage tool2.9\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tool2.9" "SoundMan"="SOUNDMAN.EXE" "DeltTray"="DeltTray.exe" "AVG7_EMC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" "!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" Je ne sais pas si c'est interessant ou pas tout ca. avec la ligne "VIEW POINT DRIVERS"="phqghum.exe" on est pas plus avancé sur la localisation du fichier j'ai l'impression

papyber · Answer

pc health tu n'y touches pas (c'est ta restauration système)
edg.txt tu le supprimes et sans remords c'est un morceau de ces sa..tés qu'on essaie de supprimer depuis le départ; logiquement il part avec les manips que je t'ai fait effectuer!!!

retélécharge GenProc (tu as le lien plus haut) et reposte un rapport pour voir

cristof77 · Answer

ok. Ils sont endurci ces saloperies là.

Genproc m'ouvre le même rapport que d'habitude:

Rapport GenProc 0.46 [1] effectué le 22/04/2007 à 16:41:45,43 - SystemRoot = C:\WINDOWS 

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
# Etape 1/ Télécharge :  
  
- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU). 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Tofi Tofo") ***** 
 
 
# Etape 2/ 
 
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous 
 
# Etape 3/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 4/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ; 
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail  C:\ ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.





et le genproc argument:

~~ Arguments ~~

# Détections 22/04/2007 16:41:45,42 - C:\Documents and Settings\Tofi Tofo\Bureau\GenProc\outil 

Navipromo:le 22/04/2007 à 16:41:46,51 HKCU\....\Lanconfig

papyber · Answer

on va essayer de le débusquer autrement
élécharge Registry Search.vbs

http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

* Dézippe le sur le bureau et double-clique sur RegSearch.vbs

copie colle le nom "Lanconfig "dans la zone de recherche et clique sur OK

Après recherche, le bloc-note ouvre une fenêtre avec toutes les instances trouvées.

Le fichier est sauvegardé dans le même répertoire que celui de RegSearch

* Copie-colle le contenu de la fenêtre pour le mettre dans ton prochain post.

cristof77 · Answer

voila le rapport tout frais:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Lanconfig" 22/04/2007 17:12:56

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1957994488-1343024091-839522115-1003\Software\LanConfig]

papyber · Answer

sais tu naviguer dans le registre?

cristof77 · Answer

pas du tout!
Mais quelque chose de simple je peut tenter, c'est intéressant

papyber · Answer

tu fais démarrer executer ---> tape regedit
le registre s'affiche
tu fais fichier --->exporter et tu sauvegardes le registre 
ensuite tu navigues dans l'arborescance et tu recherches cette hkey

[HKEY_USERS\S-1-5-21-1957994488-1343024091-839522115-1003\Software\LanConfig]
 
tu me dis si tu la trouves

cristof77 · Answer

Je trouve dans l'arborescence:
HKEY curent user/Software/Lanconfig, et sur la fenetre de droite s'affiche deux fichier:

nom: les deux ont une icone ab ; (par defaut) 
type reg_SZ 
données: valeur non définie

le deuxieme:
  nom LAN
  type reg_SZ 
 données: Up



Ah en fait je cherchais mal. J'ai trouvé la ligne que tu m'indique. Je t'ai laissé les deux aute fichiers au cas où.

papyber · Answer

tu as bien sauvegardé le registre?
tu supprimes cette hkey
[HKEY_USERS\S-1-5-21-1957994488-1343024091-839522115-1003\Software\LanConfig]
pour les autres on verra si GenProc nous retrouve encore navipromo..
tu supprimes aussi GenProc et tu le retélécharge et tu poste son rapport

cristof77 · Answer

bonne nouvelle!

   "Aucune infection caractéristique trouvée ! "

Genproc ne trouve plus rien.

cristof77 · Answer

Et bien on a eu le droit a une panne de serveur on dirait

papyber · Answer

si tu n'as plus de soucis on a enfin vu le bout!!

cristof77 · Answer

saperlipopette j' i croyait plus!
Et bien pour aujourd'hui je vais me coucher et je te tient au courant dans les prochains jours si tout roule.
Déjà un grand merci pour ton aide jusqu'a present!! Ca m'a évité un classique reformatage bien ennuyeux.
Bonne nuit.

papyber · Answer

pour te dire la vérité, moi non plus, je commençais à me faire du souci..
tu supprimes tout ce qu'on a utilisé, supprime les dossiers jaunes C:\Navipromo, C:\BFU, ainsi que les fichiers C:\Navipromo.txt et Navipromo.bat, puis vide ta corbeille ainsi que GenProc, REgsearch etc
désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration

si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation : 
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse. 
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions " 
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
j'ai découvert ce lien qui est plutôt pas mal à ce sujet 
https://forum.pcastuces.com/default.asp

et bon surf

cristof77 · Answer

hey!
bonjour,
je n'avais pas pris le temps de te remercié jusqu'ici pour avoir sauver mon pc!
Donc merci, c'est sympa de tomber sur quelqu'un qui prend le temps. Tout roule maintenant.
Bonne route.

papyber · Answer

continue ainsi et surtout bon surf prudent et sécure!

[virus] Pop up a gogo, virus sous le capot:(

60 réponses

Discussions similaires