Fenêtres pubs s'ouvrent à nouveau!!!

Pti.Lu Messages postés 53 Statut Membre -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour à tous,
Grace à vous, j'avais réussi à éliminer (pendant plus d'un mois) ces fenêtres publicitaires qui s'ouvraient de manière intempestive mais elles réapparaissent depuis 2 jours... voici le rapport hijackthis...
Merci pour votre aide précieuse!

Logfile of HijackThis v1.99.1
Scan saved at 14:03:47, on 16/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\moi\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Eq Active Bows Delete] C:\Documents and Settings\All Users\Application Data\List regs eq active\Interteam.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [inside flag] C:\DOCUME~1\moi\APPLIC~1\okay bend jump\AdminClose.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
Configuration: Windows XP
Firefox 2.0.0.3

24 réponses

  • 1
  • 2
  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge LopXPMH sur ton Bureau.
    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2_Beta.zip

    Dézippe-le et double clique sur le fichier lopxpMH.bat.
    Poste le contenu du rapport qui va s'ouvrir.
    0
  2. Pti.Lu Messages postés 53 Statut Membre 2
     
    voici le rapport...

    Rapport fait à 15:28:09,42 le 16/04/2007

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    12/12/2005 21:13 <REP> .
    12/12/2005 21:13 <REP> ..
    18/01/2007 15:11 <REP> Adobe
    13/12/2005 14:24 <REP> Apple Computer
    09/01/2006 11:10 <REP> CanonBJ
    18/03/2007 15:43 <REP> List regs eq active
    04/09/2006 10:39 <REP> Messenger Plus!
    12/12/2005 21:13 <REP> Microsoft
    13/12/2005 00:01 <REP> nView_Profiles
    13/12/2005 14:35 <REP> Raxco
    13/12/2005 14:25 <REP> Real
    12/12/2005 23:47 <REP> Roxio
    09/03/2007 21:58 <REP> Spybot - Search & Destroy
    24/02/2007 01:20 <REP> TEMP
    07/12/2006 14:57 <REP> Windows Genuine Advantage
    12/12/2005 21:15 62 desktop.ini
    14/12/2005 21:31 3 DragToDiscUserNameE.txt
    14/11/2006 19:47 0 LauncherAccess.dt
    3 fichier(s) 65 octets
    15 R‚p(s) 23ÿ906ÿ934ÿ784 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    12/12/2005 21:13 <REP> .
    12/12/2005 21:13 <REP> ..
    12/12/2005 21:13 <REP> Microsoft
    12/12/2005 21:15 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 23ÿ906ÿ934ÿ784 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    12/12/2005 21:15 <REP> .
    12/12/2005 21:15 <REP> ..
    0 fichier(s) 0 octets
    2 R‚p(s) 23ÿ906ÿ934ÿ784 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\LocalService\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ934ÿ784 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ934ÿ784 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\moi\Application Data

    12/12/2005 21:29 <REP> .
    12/12/2005 21:29 <REP> ..
    03/11/2006 20:38 <REP> .ABC
    07/05/2006 16:44 <REP> 123 Free Solitaire
    07/05/2006 16:47 <REP> ACAMPREF
    17/08/2006 14:16 <REP> Adobe
    04/10/2006 19:44 <REP> AdobeUM
    14/11/2006 19:49 <REP> ConvertTemp
    10/12/2006 20:26 <REP> dvdcss
    06/10/2006 08:33 <REP> Google
    12/12/2005 21:29 <REP> Identities
    24/08/2006 00:44 <REP> Lavasoft
    17/08/2006 19:48 <REP> Logitech
    21/08/2006 16:11 <REP> Macromedia
    16/03/2007 15:19 <REP> Media Player Classic
    12/12/2005 21:29 <REP> Microsoft
    14/12/2005 13:50 <REP> Mozilla
    18/03/2007 15:42 <REP> okay bend jump
    13/12/2005 14:25 <REP> Real
    14/12/2005 21:31 <REP> Roxio
    14/11/2006 19:49 <REP> Samsung
    18/03/2007 15:43 <REP> Screenshot Sender
    04/10/2006 17:00 <REP> Sun
    24/08/2006 00:35 <REP> Talkback
    14/11/2006 19:49 <REP> Temporary
    14/12/2005 13:51 <REP> Thunderbird
    14/11/2006 19:49 <REP> TransRender
    02/09/2006 19:07 <REP> U3
    10/12/2006 20:27 <REP> vlc
    12/12/2005 21:29 62 desktop.ini
    27/02/2007 17:28 262 WinssCookie.txt
    2 fichier(s) 324 octets
    29 R‚p(s) 23ÿ906ÿ930ÿ688 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\moi\Local Settings\Application Data

    12/12/2005 21:29 <REP> .
    12/12/2005 21:29 <REP> ..
    29/09/2006 19:49 <REP> Adobe
    02/02/2007 23:36 <REP> Apple Computer
    06/10/2006 08:33 <REP> Google
    17/08/2006 14:12 <REP> Identities
    12/12/2005 21:29 <REP> Microsoft
    14/12/2005 13:52 <REP> Mozilla
    25/08/2006 13:57 <REP> RcIncidents
    12/12/2005 23:53 <REP> Roxio
    24/08/2006 00:35 <REP> Thunderbird
    06/03/2006 21:13 <REP> V-Safe 100
    27/12/2006 22:48 68ÿ608 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    06/03/2006 10:20 57ÿ912 GDIPFONTCACHEV1.DAT
    08/12/2006 14:44 8ÿ038ÿ696 IconCache.db
    3 fichier(s) 8ÿ165ÿ216 octets
    12 R‚p(s) 23ÿ906ÿ930ÿ688 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ930ÿ688 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ930ÿ688 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    12/12/2005 21:27 <REP> .
    12/12/2005 21:27 <REP> ..
    12/12/2005 21:27 <REP> Microsoft
    12/12/2005 21:27 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 23ÿ906ÿ930ÿ688 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    12/12/2005 21:27 <REP> .
    12/12/2005 21:27 <REP> ..
    0 fichier(s) 0 octets
    2 R‚p(s) 23ÿ906ÿ930ÿ688 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Program Files

    11/04/2007 08:09 <REP> .
    11/04/2007 08:09 <REP> ..
    05/11/2006 15:40 <REP> ABC
    29/09/2006 11:16 <REP> Adobe
    18/03/2007 15:42 <REP> Adverts
    29/12/2006 15:49 <REP> Alambik
    21/08/2006 16:58 <REP> Alwil Software
    09/01/2006 11:13 <REP> Canon
    24/08/2006 00:39 <REP> CCleaner
    12/12/2005 20:22 <REP> ComPlus Applications
    13/12/2005 00:11 <REP> ffdshow
    24/02/2007 11:26 <REP> Fichiers communs
    02/12/2005 23:28 2ÿ678ÿ784 Foxit Reader.exe
    27/02/2007 17:35 <REP> Internet Explorer
    05/06/2006 17:49 <REP> IrfanView
    27/02/2007 14:09 <REP> Java
    14/12/2005 13:50 <REP> Jeux Windows
    27/12/2006 22:40 <REP> Lame MP3 Codec
    24/08/2006 00:44 <REP> Lavasoft
    11/03/2007 19:16 <REP> Logitech
    18/03/2007 15:42 <REP> Messenger Plus! Live
    24/08/2006 15:09 <REP> MessengerPlus! 3
    12/12/2005 23:36 <REP> Microsoft Office
    27/02/2007 17:29 <REP> Microsoft Windows OneCare Live
    14/12/2005 13:52 <REP> MozBackup 1.4
    16/04/2007 14:10 <REP> Mozilla Firefox
    16/04/2007 09:46 <REP> Mozilla Thunderbird
    08/02/2007 09:08 <REP> MSN Messenger
    12/12/2005 20:23 <REP> NetMeeting
    18/03/2007 15:43 <REP> okay bend jump
    12/12/2005 20:31 <REP> Outlook Express
    13/12/2005 14:23 <REP> PhotoFiltre
    06/09/2006 22:26 <REP> QuickTime Alternative
    13/12/2005 14:26 <REP> Raxco
    07/12/2006 17:37 <REP> Real
    06/09/2006 22:26 <REP> Real Alternative
    12/12/2005 23:47 <REP> Roxio
    17/08/2006 13:28 <REP> SAGEM
    27/12/2006 22:37 <REP> Samsung
    17/08/2006 13:24 <REP> Securitoo
    21/08/2006 17:17 <REP> Sunbelt Software
    10/12/2006 18:19 <REP> Universalis 9
    10/12/2006 20:25 <REP> VideoLAN
    13/04/2007 11:21 <REP> Windows Live Safety Center
    13/12/2005 00:06 <REP> Windows Media Player
    12/12/2005 20:21 <REP> Windows NT
    13/12/2005 00:10 <REP> WinRAR
    27/12/2006 22:39 <REP> XviD
    1 fichier(s) 2ÿ678ÿ784 octets
    47 R‚p(s) 23ÿ906ÿ926ÿ592 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    netbios-wait.com REG_SZ
    www.netbios-wait.com REG_SZ
    mysearchnow.com REG_SZ
    www.mysearchnow.com REG_SZ
    searchweb2.com REG_SZ
    www.searchweb2.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\5O4IA6RE.DEFAULT\HOSTPERM.1
    host popup 1 www.dudelire.com
    host popup 1 www.clubic.com
    host popup 1 www.agendaculturel.fr

    ******************************************
    ## Registre

    Rapport fait à 15:29:50,87 le 16/04/2007

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    12/12/2005 21:13 <REP> .
    12/12/2005 21:13 <REP> ..
    18/01/2007 15:11 <REP> Adobe
    13/12/2005 14:24 <REP> Apple Computer
    09/01/2006 11:10 <REP> CanonBJ
    18/03/2007 15:43 <REP> List regs eq active
    04/09/2006 10:39 <REP> Messenger Plus!
    12/12/2005 21:13 <REP> Microsoft
    13/12/2005 00:01 <REP> nView_Profiles
    13/12/2005 14:35 <REP> Raxco
    13/12/2005 14:25 <REP> Real
    12/12/2005 23:47 <REP> Roxio
    09/03/2007 21:58 <REP> Spybot - Search & Destroy
    24/02/2007 01:20 <REP> TEMP
    07/12/2006 14:57 <REP> Windows Genuine Advantage
    12/12/2005 21:15 62 desktop.ini
    14/12/2005 21:31 3 DragToDiscUserNameE.txt
    14/11/2006 19:47 0 LauncherAccess.dt
    3 fichier(s) 65 octets
    15 R‚p(s) 23ÿ906ÿ770ÿ944 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    12/12/2005 21:13 <REP> .
    12/12/2005 21:13 <REP> ..
    12/12/2005 21:13 <REP> Microsoft
    12/12/2005 21:15 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 23ÿ906ÿ766ÿ848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    12/12/2005 21:15 <REP> .
    12/12/2005 21:15 <REP> ..
    0 fichier(s) 0 octets
    2 R‚p(s) 23ÿ906ÿ766ÿ848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\LocalService\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ766ÿ848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ766ÿ848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\moi\Application Data

    12/12/2005 21:29 <REP> .
    12/12/2005 21:29 <REP> ..
    03/11/2006 20:38 <REP> .ABC
    07/05/2006 16:44 <REP> 123 Free Solitaire
    07/05/2006 16:47 <REP> ACAMPREF
    17/08/2006 14:16 <REP> Adobe
    04/10/2006 19:44 <REP> AdobeUM
    14/11/2006 19:49 <REP> ConvertTemp
    10/12/2006 20:26 <REP> dvdcss
    06/10/2006 08:33 <REP> Google
    12/12/2005 21:29 <REP> Identities
    24/08/2006 00:44 <REP> Lavasoft
    17/08/2006 19:48 <REP> Logitech
    21/08/2006 16:11 <REP> Macromedia
    16/03/2007 15:19 <REP> Media Player Classic
    12/12/2005 21:29 <REP> Microsoft
    14/12/2005 13:50 <REP> Mozilla
    18/03/2007 15:42 <REP> okay bend jump
    13/12/2005 14:25 <REP> Real
    14/12/2005 21:31 <REP> Roxio
    14/11/2006 19:49 <REP> Samsung
    18/03/2007 15:43 <REP> Screenshot Sender
    04/10/2006 17:00 <REP> Sun
    24/08/2006 00:35 <REP> Talkback
    14/11/2006 19:49 <REP> Temporary
    14/12/2005 13:51 <REP> Thunderbird
    14/11/2006 19:49 <REP> TransRender
    02/09/2006 19:07 <REP> U3
    10/12/2006 20:27 <REP> vlc
    12/12/2005 21:29 62 desktop.ini
    27/02/2007 17:28 262 WinssCookie.txt
    2 fichier(s) 324 octets
    29 R‚p(s) 23ÿ906ÿ766ÿ848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\moi\Local Settings\Application Data

    12/12/2005 21:29 <REP> .
    12/12/2005 21:29 <REP> ..
    29/09/2006 19:49 <REP> Adobe
    02/02/2007 23:36 <REP> Apple Computer
    06/10/2006 08:33 <REP> Google
    17/08/2006 14:12 <REP> Identities
    12/12/2005 21:29 <REP> Microsoft
    14/12/2005 13:52 <REP> Mozilla
    25/08/2006 13:57 <REP> RcIncidents
    12/12/2005 23:53 <REP> Roxio
    24/08/2006 00:35 <REP> Thunderbird
    06/03/2006 21:13 <REP> V-Safe 100
    27/12/2006 22:48 68ÿ608 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    06/03/2006 10:20 57ÿ912 GDIPFONTCACHEV1.DAT
    08/12/2006 14:44 8ÿ038ÿ696 IconCache.db
    3 fichier(s) 8ÿ165ÿ216 octets
    12 R‚p(s) 23ÿ906ÿ766ÿ848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ762ÿ752 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ762ÿ752 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    12/12/2005 21:27 <REP> .
    12/12/2005 21:27 <REP> ..
    12/12/2005 21:27 <REP> Microsoft
    12/12/2005 21:27 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 23ÿ906ÿ762ÿ752 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    12/12/2005 21:27 <REP> .
    12/12/2005 21:27 <REP> ..
    0 fichier(s) 0 octets
    2 R‚p(s) 23ÿ906ÿ762ÿ752 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Program Files

    11/04/2007 08:09 <REP> .
    11/04/2007 08:09 <REP> ..
    05/11/2006 15:40 <REP> ABC
    29/09/2006 11:16 <REP> Adobe
    18/03/2007 15:42 <REP> Adverts
    29/12/2006 15:49 <REP> Alambik
    21/08/2006 16:58 <REP> Alwil Software
    09/01/2006 11:13 <REP> Canon
    24/08/2006 00:39 <REP> CCleaner
    12/12/2005 20:22 <REP> ComPlus Applications
    13/12/2005 00:11 <REP> ffdshow
    24/02/2007 11:26 <REP> Fichiers communs
    02/12/2005 23:28 2ÿ678ÿ784 Foxit Reader.exe
    27/02/2007 17:35 <REP> Internet Explorer
    05/06/2006 17:49 <REP> IrfanView
    27/02/2007 14:09 <REP> Java
    14/12/2005 13:50 <REP> Jeux Windows
    27/12/2006 22:40 <REP> Lame MP3 Codec
    24/08/2006 00:44 <REP> Lavasoft
    11/03/2007 19:16 <REP> Logitech
    18/03/2007 15:42 <REP> Messenger Plus! Live
    24/08/2006 15:09 <REP> MessengerPlus! 3
    12/12/2005 23:36 <REP> Microsoft Office
    27/02/2007 17:29 <REP> Microsoft Windows OneCare Live
    14/12/2005 13:52 <REP> MozBackup 1.4
    16/04/2007 14:10 <REP> Mozilla Firefox
    16/04/2007 09:46 <REP> Mozilla Thunderbird
    08/02/2007 09:08 <REP> MSN Messenger
    12/12/2005 20:23 <REP> NetMeeting
    18/03/2007 15:43 <REP> okay bend jump
    12/12/2005 20:31 <REP> Outlook Express
    13/12/2005 14:23 <REP> PhotoFiltre
    06/09/2006 22:26 <REP> QuickTime Alternative
    13/12/2005 14:26 <REP> Raxco
    07/12/2006 17:37 <REP> Real
    06/09/2006 22:26 <REP> Real Alternative
    12/12/2005 23:47 <REP> Roxio
    17/08/2006 13:28 <REP> SAGEM
    27/12/2006 22:37 <REP> Samsung
    17/08/2006 13:24 <REP> Securitoo
    21/08/2006 17:17 <REP> Sunbelt Software
    10/12/2006 18:19 <REP> Universalis 9
    10/12/2006 20:25 <REP> VideoLAN
    13/04/2007 11:21 <REP> Windows Live Safety Center
    13/12/2005 00:06 <REP> Windows Media Player
    12/12/2005 20:21 <REP> Windows NT
    13/12/2005 00:10 <REP> WinRAR
    27/12/2006 22:39 <REP> XviD
    1 fichier(s) 2ÿ678ÿ784 octets
    47 R‚p(s) 23ÿ906ÿ758ÿ656 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    netbios-wait.com REG_SZ
    www.netbios-wait.com REG_SZ
    mysearchnow.com REG_SZ
    www.mysearchnow.com REG_SZ
    searchweb2.com REG_SZ
    www.searchweb2.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\5O4IA6RE.DEFAULT\HOSTPERM.1
    host popup 1 www.dudelire.com
    host popup 1 www.clubic.com
    host popup 1 www.agendaculturel.fr

    ******************************************
    ## Registre

    Rapport fait à 15:31:38,50 le 16/04/2007

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    12/12/2005 21:13 <REP> .
    12/12/2005 21:13 <REP> ..
    18/01/2007 15:11 <REP> Adobe
    13/12/2005 14:24 <REP> Apple Computer
    09/01/2006 11:10 <REP> CanonBJ
    18/03/2007 15:43 <REP> List regs eq active
    04/09/2006 10:39 <REP> Messenger Plus!
    12/12/2005 21:13 <REP> Microsoft
    13/12/2005 00:01 <REP> nView_Profiles
    13/12/2005 14:35 <REP> Raxco
    13/12/2005 14:25 <REP> Real
    12/12/2005 23:47 <REP> Roxio
    09/03/2007 21:58 <REP> Spybot - Search & Destroy
    24/02/2007 01:20 <REP> TEMP
    07/12/2006 14:57 <REP> Windows Genuine Advantage
    12/12/2005 21:15 62 desktop.ini
    14/12/2005 21:31 3 DragToDiscUserNameE.txt
    14/11/2006 19:47 0 LauncherAccess.dt
    3 fichier(s) 65 octets
    15 R‚p(s) 23ÿ906ÿ689ÿ024 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    12/12/2005 21:13 <REP> .
    12/12/2005 21:13 <REP> ..
    12/12/2005 21:13 <REP> Microsoft
    12/12/2005 21:15 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 23ÿ906ÿ689ÿ024 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    12/12/2005 21:15 <REP> .
    12/12/2005 21:15 <REP> ..
    0 fichier(s) 0 octets
    2 R‚p(s) 23ÿ906ÿ689ÿ024 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\LocalService\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ689ÿ024 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ689ÿ024 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\moi\Application Data

    12/12/2005 21:29 <REP> .
    12/12/2005 21:29 <REP> ..
    03/11/2006 20:38 <REP> .ABC
    07/05/2006 16:44 <REP> 123 Free Solitaire
    07/05/2006 16:47 <REP> ACAMPREF
    17/08/2006 14:16 <REP> Adobe
    04/10/2006 19:44 <REP> AdobeUM
    14/11/2006 19:49 <REP> ConvertTemp
    10/12/2006 20:26 <REP> dvdcss
    06/10/2006 08:33 <REP> Google
    12/12/2005 21:29 <REP> Identities
    24/08/2006 00:44 <REP> Lavasoft
    17/08/2006 19:48 <REP> Logitech
    21/08/2006 16:11 <REP> Macromedia
    16/03/2007 15:19 <REP> Media Player Classic
    12/12/2005 21:29 <REP> Microsoft
    14/12/2005 13:50 <REP> Mozilla
    18/03/2007 15:42 <REP> okay bend jump
    13/12/2005 14:25 <REP> Real
    14/12/2005 21:31 <REP> Roxio
    14/11/2006 19:49 <REP> Samsung
    18/03/2007 15:43 <REP> Screenshot Sender
    04/10/2006 17:00 <REP> Sun
    24/08/2006 00:35 <REP> Talkback
    14/11/2006 19:49 <REP> Temporary
    14/12/2005 13:51 <REP> Thunderbird
    14/11/2006 19:49 <REP> TransRender
    02/09/2006 19:07 <REP> U3
    10/12/2006 20:27 <REP> vlc
    12/12/2005 21:29 62 desktop.ini
    27/02/2007 17:28 262 WinssCookie.txt
    2 fichier(s) 324 octets
    29 R‚p(s) 23ÿ906ÿ684ÿ928 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\moi\Local Settings\Application Data

    12/12/2005 21:29 <REP> .
    12/12/2005 21:29 <REP> ..
    29/09/2006 19:49 <REP> Adobe
    02/02/2007 23:36 <REP> Apple Computer
    06/10/2006 08:33 <REP> Google
    17/08/2006 14:12 <REP> Identities
    12/12/2005 21:29 <REP> Microsoft
    14/12/2005 13:52 <REP> Mozilla
    25/08/2006 13:57 <REP> RcIncidents
    12/12/2005 23:53 <REP> Roxio
    24/08/2006 00:35 <REP> Thunderbird
    06/03/2006 21:13 <REP> V-Safe 100
    27/12/2006 22:48 68ÿ608 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    06/03/2006 10:20 57ÿ912 GDIPFONTCACHEV1.DAT
    08/12/2006 14:44 8ÿ038ÿ696 IconCache.db
    3 fichier(s) 8ÿ165ÿ216 octets
    12 R‚p(s) 23ÿ906ÿ684ÿ928 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ684ÿ928 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    12/12/2005 21:28 <REP> .
    12/12/2005 21:28 <REP> ..
    12/12/2005 21:28 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 23ÿ906ÿ684ÿ928 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    12/12/2005 21:27 <REP> .
    12/12/2005 21:27 <REP> ..
    12/12/2005 21:27 <REP> Microsoft
    12/12/2005 21:27 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 23ÿ906ÿ684ÿ928 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    12/12/2005 21:27 <REP> .
    12/12/2005 21:27 <REP> ..
    0 fichier(s) 0 octets
    2 R‚p(s) 23ÿ906ÿ680ÿ832 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est CC31-801B

    R‚pertoire de C:\Program Files

    11/04/2007 08:09 <REP> .
    11/04/2007 08:09 <REP> ..
    05/11/2006 15:40 <REP> ABC
    29/09/2006 11:16 <REP> Adobe
    18/03/2007 15:42 <REP> Adverts
    29/12/2006 15:49 <REP> Alambik
    21/08/2006 16:58 <REP> Alwil Software
    09/01/2006 11:13 <REP> Canon
    24/08/2006 00:39 <REP> CCleaner
    12/12/2005 20:22 <REP> ComPlus Applications
    13/12/2005 00:11 <REP> ffdshow
    24/02/2007 11:26 <REP> Fichiers communs
    02/12/2005 23:28 2ÿ678ÿ784 Foxit Reader.exe
    27/02/2007 17:35 <REP> Internet Explorer
    05/06/2006 17:49 <REP> IrfanView
    27/02/2007 14:09 <REP> Java
    14/12/2005 13:50 <REP> Jeux Windows
    27/12/2006 22:40 <REP> Lame MP3 Codec
    24/08/2006 00:44 <REP> Lavasoft
    11/03/2007 19:16 <REP> Logitech
    18/03/2007 15:42 <REP> Messenger Plus! Live
    24/08/2006 15:09 <REP> MessengerPlus! 3
    12/12/2005 23:36 <REP> Microsoft Office
    27/02/2007 17:29 <REP> Microsoft Windows OneCare Live
    14/12/2005 13:52 <REP> MozBackup 1.4
    16/04/2007 14:10 <REP> Mozilla Firefox
    16/04/2007 09:46 <REP> Mozilla Thunderbird
    08/02/2007 09:08 <REP> MSN Messenger
    12/12/2005 20:23 <REP> NetMeeting
    18/03/2007 15:43 <REP> okay bend jump
    12/12/2005 20:31 <REP> Outlook Express
    13/12/2005 14:23 <REP> PhotoFiltre
    06/09/2006 22:26 <REP> QuickTime Alternative
    13/12/2005 14:26 <REP> Raxco
    07/12/2006 17:37 <REP> Real
    06/09/2006 22:26 <REP> Real Alternative
    12/12/2005 23:47 <REP> Roxio
    17/08/2006 13:28 <REP> SAGEM
    27/12/2006 22:37 <REP> Samsung
    17/08/2006 13:24 <REP> Securitoo
    21/08/2006 17:17 <REP> Sunbelt Software
    10/12/2006 18:19 <REP> Universalis 9
    10/12/2006 20:25 <REP> VideoLAN
    13/04/2007 11:21 <REP> Windows Live Safety Center
    13/12/2005 00:06 <REP> Windows Media Player
    12/12/2005 20:21 <REP> Windows NT
    13/12/2005 00:10 <REP> WinRAR
    27/12/2006 22:39 <REP> XviD
    1 fichier(s) 2ÿ678ÿ784 octets
    47 R‚p(s) 23ÿ906ÿ680ÿ832 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    netbios-wait.com REG_SZ
    www.netbios-wait.com REG_SZ
    mysearchnow.com REG_SZ
    www.mysearchnow.com REG_SZ
    searchweb2.com REG_SZ
    www.searchweb2.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\5O4IA6RE.DEFAULT\HOSTPERM.1
    host popup 1 www.dudelire.com
    host popup 1 www.clubic.com
    host popup 1 www.agendaculturel.fr

    ******************************************
    ## Registre

    * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Eq Active Bows Delete REG_SZ C:\Documents and Settings\All Users\Application Data\List regs eq active\Interteam.exe

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    inside flag REG_SZ C:\DOCUME~1\moi\APPLIC~1\okay bend jump\AdminClose.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  3. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Note comment démarrer en mode sans échec
    https://docs.microsoft.com/en-us/?mfr=true

    Tu vas t'en servir sans accès à internet.

    1/ Télécharge : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    ("Download Latest Version", sur la droite).
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    2* Crée un nouveau document texte :
    clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
    Ouvre-le et copie-colle dedans de ce qui est en italique ci-dessous, (copie tout d'un trait) :

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Eq Active Bows Delete"=-
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "inside flag"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "netsearchsoft.com"=-
    "www.netsearchsoft.com"=-
    "netbios-wait.com"=-
    "www.netbios-wait.com"=-
    "mysearchnow.com"=-
    "www.mysearchnow.com"=-
    "searchweb2.com"=-
    "www.searchweb2.com"=-


    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : reglop.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    *****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****

    3/désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

    Adverts
    okay bend jump


    4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"

    recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves :
    C:\Documents and Settings\All Users\Application Data\List regs eq active
    C:\Documents and Settings\moi\Application Data \okay bend jump
    C:\ Documents and Settings\moi\Application Data \Screenshot Sender
    C:\Program Files\Adverts

    C:\Program Files\ okay bend jump

    5/recache tes dossiers et fichiers en effectuant la manoeuvre inverse

    6/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    7/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    *Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  4. Pti.Lu Messages postés 53 Statut Membre 2
     
    ok, je fais tout ça... redémarrer en mode sans échec, je sais faire, ccleaner, j'ai déjà... pour le reste on va voir, je te tiens au courant mais je te remercie d'avance pour ton aide rapide!!!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Pti.Lu Messages postés 53 Statut Membre 2
     
    Bon... j'ai fait ce que tu m'as demandé assez facilement puisque j'ai suivi à la lettre tes indications, cependant j'ai l'impression que le problème n'est pas résolu... j'ai peut être raté quelque chose quelque part!!!

    Logfile of HijackThis v1.99.1
    Scan saved at 19:28:18, on 16/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\sessmgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Raxco\PerfectDisk\PDSched.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\moi\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
    O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
    0
    1. Pti.Lu Messages postés 53 Statut Membre 2
       
      je confirme... le problème n'est pas résolu!!!! Faut-il que je recommence??? je me suis sûrement plantée...
      0
  7. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    tu as encore des fenêtres de pub?
    télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau
    http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    0
    1. Pti.Lu Messages postés 53 Statut Membre 2
       
      Tout à l'heure, les fenêtres s'ouvraient encore mais là plus rien... je ne comprends plus!!!
      A priori mon problème semble être résolu mais bon... je t'envoie quand même le rapport de la manip que tu m'as demandé d'éxécuter:


      Rapport GenProc 0.44 [1] effectué le 16/04/2007 à 21:42:06,11 - SystemRoot = C:\WINDOWS

      Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

      # Etape 1/ Télécharge :

      - Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

      - Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
      * Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
      et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
      afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).


      ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "moi") *****


      # Etape 2/

      * lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

      * Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
      S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

      * Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

      * Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
      Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
      - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
      Clique sur "Execute" et laisse-le faire son travail.
      Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
      Recommence encore une fois.

      * Démarrer -> panneau de configuration -> options internet
      Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

      electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

      => Supprime-les tous

      # Etape 3/

      Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

      # Etape 4/

      Redémarre normalement et poste :
      - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
      - Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;


      Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
      0
      1. Pti.Lu Messages postés 53 Statut Membre 2 > Pti.Lu Messages postés 53 Statut Membre
         
        Fait-il que je fasse tout ça??? Encore??? Pfff... y en a marre de ces pubs!!! gggrrrrr
        0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    tu fais tout et tu postes les rapports
    puis tu fais ceci
    faire un scan antivirus en ligne avec internet explorer et accepter l'activex
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur I agree
    La fenêtre change encore, clique sur Click here to scan
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    à demain
    0
  9. Pti.Lu Messages postés 53 Statut Membre 2
     
    Bonjour,
    Voici de bon matin, le premier rapport...

    Logfile of HijackThis v1.99.1
    Scan saved at 08:15:56, on 17/04/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\sessmgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Raxco\PerfectDisk\PDSched.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\moi\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
    O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

    et le rapport navipromo...

    Rapport Navipromo.bat 0.73 effectué le 17/04/2007 à 8:00:11,70
    C:\Documents and Settings\moi\Bureau
    L'opération se déroule en mode sans échec sous le compte "moi"

    ** Recherche...

    1/ rnrnrnrnrn trouvé, recherche de rnrnrnrnrn*
    C:\WINDOWS\system32\rnrnrnrnrn.dat
    C:\WINDOWS\system32\rnrnrnrnrn.exe
    C:\WINDOWS\system32\rnrnrnrnrn_nav.dat
    C:\WINDOWS\system32\rnrnrnrnrn_navps.dat

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    rnrnrnrnrn REG_SZ c:\windows\system32\rnrnrnrnrn.exe rnrnrnrnrn

    ------------------
    Fin du rapport de recherche
    Adware Navipromo trouvé 1 fois avec cette méthode

    ################################################

    ** Nettoyage...

    1/ Déplacement de rnrnrnrnrn* vers C:\Navipromo\Backups...
    C:\WINDOWS\System32\rnrnrnrnrn* déplacé avec succès !

    ------------------
    * Suppression clés et valeurs de registre
    1 entrées de registre netttoyées

    * Backups :

    C:\Navipromo\Backups\ARPCache.reg
    C:\Navipromo\Backups\HKCURun.reg
    C:\Navipromo\Backups\HKLMRun.reg
    C:\Navipromo\Backups\pack.epk
    C:\Navipromo\Backups\rnrnrnrnrn.dat
    C:\Navipromo\Backups\rnrnrnrnrn.exe
    C:\Navipromo\Backups\rnrnrnrnrn_nav.dat
    C:\Navipromo\Backups\rnrnrnrnrn_navps.dat
    C:\Navipromo\Backups\Uninstall.reg

    Ajout d'extension .off aux backups
    0
  10. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    bien les pub? cela dit quoi?
    le scan en ligne?
    0
    1. Pti.Lu Messages postés 53 Statut Membre 2
       
      Je ne peux rien te dire encore puisque je suis en train de faire le scan en ligne, c'est très très long... pour l'instant bitdefender a trouvé des virus mais les a retirés! je te posterai le résultat du scan dès que celui-ci sera fini, en espérant que je sois débarrassée de ces spywares pour de bon!!! A tout à l'heure...
      0
  11. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    ok j'attends
    à tout à l'heure
    0
  12. Pti.Lu Messages postés 53 Statut Membre 2
     
    le scan s'est bloqué à 31 secondes depuis 1 heure... je l'ai donc arrêté et bitdefender me dit que mon pc doit être infecté. 10 virus identifiés, 21 fichiers infectés et 21 supprimés, cependant il me dit aussi que un ou plusieurs fichiers infectés ne peuvent être supprimés!!!!
    0
  13. Pti.Lu Messages postés 53 Statut Membre 2
     
    je recommence le sacn, je verrai bien!!!!
    0
  14. Pti.Lu Messages postés 53 Statut Membre 2
     
    j'ai terminé le scan mais je n'arrive pas à retrouver le rapport qui disait que mon pc doit être infecté... Je vais essayer de le retrouver ou de faire le second scan que tu m'as conseillé!
    0
  15. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    le rapport en principe se trouve là
    C:\windows\bdoscan8\scanres.txt

    ou scanres.html

    sinon fais une recherche sur scanres.txt
    0
  16. Pti.Lu Messages postés 53 Statut Membre 2
     
    BitDefender Online Scanner

    Rapport d'analyse généré à: Tue, Apr 17, 2007 - 13:18:29

    Voie d'analyse: A:\;C:\;D:\;E:\;

    Statistiques

    Temps

    01:02:29

    Fichiers

    326610

    Directoires

    3602

    Secteurs de boot

    2

    Archives

    11305

    Paquets programmes

    40034

    Résultats

    Virus identifiés

    2

    Fichiers infectés

    4

    Fichiers suspects

    0

    Avertissements

    0

    Désinfectés

    0

    Fichiers effacés

    4

    Info sur les moteurs

    Définition virus

    486403

    Version des moteurs

    AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

    Analyse des plugins

    14

    Archive des plugins

    38

    Unpack des plugins

    6

    E-mail plugins

    6

    Système plugins

    1

    Paramètres d'analyse

    Première action

    Désinfecté

    Seconde Action

    Supprimé

    Heuristique

    Oui

    Acceptez les avertissements

    Oui

    Extensions analysées

    *;

    Excludez les extensions

    Analyse d'emails

    Oui

    Analyse des Archives

    Oui

    Analyser paquets programmes

    Oui

    Analyse des fichiers

    Oui

    Analyse de boot

    Oui

    Fichier analysé

    Statut

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk=>(message 16)

    Infecté par: HTML.Phishing.B

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk=>(message 16)

    Echec de la désinfection

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk=>(message 16)

    Supprimé

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk

    Mis à jour

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox=>(message 44)

    Infecté par: HTML.Phishing.B

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox=>(message 44)

    Echec de la désinfection

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox=>(message 44)

    Supprimé

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox

    Mis à jour

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox=>(message 189)

    Infecté par: HTML.Phishing.B

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox=>(message 189)

    Echec de la désinfection

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox=>(message 189)

    Supprimé

    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox

    Mis à jour

    C:\WINDOWS\PACK.EP$=>(NSIS 2g)=>lzma_solid_nsis0009

    Infecté par: Backdoor.Skinymes.Agent.A

    C:\WINDOWS\PACK.EP$=>(NSIS 2g)=>lzma_solid_nsis0009

    Echec de la désinfection

    C:\WINDOWS\PACK.EP$=>(NSIS 2g)=>lzma_solid_nsis0009

    Supprimé

    C:\WINDOWS\PACK.EP$=>(NSIS 2g)

    Echec de la mise à jour
    0
  17. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk=>(message 16)
    Supprimé
    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox=>(message 189)
    Supprimé
    C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox=>(message 44)
    Supprimé
    ce sont des mails infzectés que bitdefender t'a supprimé

    supprime GenProc, télécharge le à nouveau (il est sans arrêt mis à jour) et refait un GenProc pour voir s'il reste encore quelque chose
    0
    1. Pti.Lu Messages postés 53 Statut Membre 2
       
      Je refais toute la manip du rapport, c'est ça???
      En tout cas merci pour tout, rapidité, efficacité et pédagogie... c'est très gentil de ta part!!!


      0
  18. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    tu me postes le rapport pour que je vois ce qu'il te demande de faire... ensuite oui, tu fais très exactement ce que te demande GenProc
    0
    1. Pti.Lu Messages postés 53 Statut Membre 2
       
      Aussitôt dit, aussitôt fait, mais j'ai l'impression qu'il me dit de faire la même chose, toi qui es doué, dis moi tout... pourtant, je crois avoir tout fait comme il fallait...



      Rapport GenProc 0.45 [1] effectué le 17/04/2007 à 20:51:29,22 - SystemRoot = C:\WINDOWS

      Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

      # Etape 1/ Télécharge :

      - Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

      - Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
      * Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
      et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
      afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).


      ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "moi") *****


      # Etape 2/

      * lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

      * Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
      S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

      * Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

      * Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
      Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
      - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
      Clique sur "Execute" et laisse-le faire son travail.
      Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
      Recommence encore une fois.

      * Démarrer -> panneau de configuration -> options internet
      Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

      electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

      => Supprime-les tous

      # Etape 3/

      Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

      # Etape 4/

      Redémarre normalement et poste :
      - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
      - Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;


      Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
      0
  19. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    on va voir autrement
    Fais un clic droit sur ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Ensuite double clique sur navilog1.bat
    Laisses-toi guider. Au menu principal, choisis 1 et valides.
    Patientes jusqu'au message :

    "Analyse Termine le ..... "

    Appuies sur une touche comme demandé, le bloc-notes va s'ouvrir.
    Copies-colles l'intégralité içi. Refermes le bloc-notes.
    0
    1. Pti.Lu Messages postés 53 Statut Membre 2
       
      Et voilà...


      Search Navipromo version 1.1.5 commencé le 17/04/2007 à 21:23:47,90

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Poster ce rapport sur le forum pour le faire analyser !!!
      !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

      Fix lancé depuis C:\Documents and Settings\moi\Bureau\Nouveau dossier
      Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

      Executé en mode normal

      *** Recherche Programmes installes ***




      *** Recherche dossiers dans C:\WINDOWS ***




      *** Recherche dossiers dans C:\Program Files ***




      *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




      *** Recherche dossiers dans C:\Documents and Settings\moi\Application Data ***



      *** Recherche avec BlackLight Engine/F-secure ***
      BlackLight Engine est un produit de F-secure, pour + d'infos :
      https://www.f-secure.com/en


      F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
      ======================================

      Copyright 2005-2006 F-Secure Corporation. All rights reserved.
      This is a beta version. It will expire on 1st of April, 2007.
      Version information: 2.2.1061.

      [+] Started on 04/17/07 at 21:23:55.
      [+] Initializing ...
      [+] Starting scan, press Ctrl-C to abort.
      [+] Scanning for hidden items ...................................
      [+] Scan complete.
      [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
      [+] Exited on 04/17/07 at 21:26:22 (return code = 0).


      *** Recherche fichiers ***




      *** Recherche cles registre ***


      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



      Recherche Clé Magic Control

      HKEY_CURRENT_USER\Software\Lanconfig trouvé !
      HKEY_USERS\S-1-5-21-299502267-1202660629-1200651235-1003\Software\Lanconfig trouvé !


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche fichiers connus:


      2)Recherche Heuristique :
      *
      **
      ***
      ****
      *****
      ******
      *******
      ********


      *** Analyse Terminé le 17/04/2007 à 21:26:51,59 ***
      0
  20. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Comment aller en Mode sans échec lettre C
    https://forum.pcastuces.com/sujet.asp?f=25&s=3902

    redemarre en mode sans echec
    Double clique sur navilog1.bat

    Laisses-toi guider.

    Au menu principal, choisis 2 et valides.

    Indique le mode de nettoyage "automatique"

    Laisses toi guider et réponds aux questions éventuelles

    Ton bureau va disparaître, c'est normal.

    Patientes jusqu'au message :

    *** Nettoyage Termine le ..... ***

    Appuies sur une touche comme demandé, le bloc note va s'ouvrir.

    Sauvegardes le rapport de manière à le retrouver

    Refermes le bloc note.

    Ton bureau va réapparaître

    Redémarres normalement et copies-colles l'intégralité dans une réponse.

    Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

    PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
    Tapes explorer et valides. Cela te fera apparaître ton bureau

    Refais un log Hitjakthis
    0
    1. Pti.Lu Messages postés 53 Statut Membre 2
       
      Bonjour,
      Voici les 2 rapports demandés:

      Clean Navipromo version 1.1.5 commencé le 18/04/2007 à 10:31:12,46

      Fix lancé depuis C:\Documents and Settings\moi\Bureau\Nouveau dossier
      Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

      Executé en mode sans echec

      Mode suppression automatique avec prise en charge résultats Blacklight


      *** fsbl1.txt non trouvé ***
      (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


      *** Suppression dossiers dans C:\WINDOWS ***


      *** Suppression dossiers dans C:\Program Files ***


      *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


      *** Suppression dossiers dans C:\Documents and Settings\moi\Application Data ***



      *** Suppression fichiers ***


      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\moi\Local Settings\Temp effectué !


      *** Sauvegarde du registre vers dossier Backupnavi***


      sauvegarde du registre realise avec succes !


      *** Nettoyage registre ***


      Nettoyage registre Ok

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche fichiers connus:


      2)Recherche et Suppression Heuristique :

      *
      **
      ***
      ****
      *****
      ******
      *******
      ********

      *** Nettoyage termine le 18/04/2007 à 10:32:21,87 ***





      Logfile of HijackThis v1.99.1
      Scan saved at 10:37:17, on 18/04/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\WINDOWS\system32\sessmgr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Real\RealPlayer\RealPlay.exe
      C:\Program Files\Raxco\PerfectDisk\PDSched.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\moi\Bureau\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
      O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
      0
  • 1
  • 2