désinstaller msn skinner avec vista Résolu

Question

Bonjour, mon ado qui a toujours raison a installé msn skinner sur mon portable vista. Donc maintenant publicité sans arret. j'ai fait un mode sans echec pour le désinstaller mais rien n'y fait. Je ne sais pas comment faire et la mon super ado i sait tout me laisse tomber. merci de vos conseils

moK´s@ · Answer

salut lavandiere80,

esssaie comme ceci :

Va sur ce lien et télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.

@+

lavandiere80 · Answer

je vous ai fait parvenir par email le resultat du test. apparament toujours probleme de pub alors que le test est negatif.je ne vois pas ce que je peux faire ou si un autre programme a été installé par mon fils sans le savoir
merci encore de m'aider

moK´s@ · Answer

re,

par e-mail?

en faite quand je dis tu post le rapport ici, ca veut dire que tu copie et colle le rapport sur cette page 8dans ta reponse....)

lavandiere80 · Answer

07/07/07 14:21:40 [Info]: BlackLight Engine 1.0.64 initialized
07/07/07 14:21:40 [Info]: OS: 6.0 build 6000 ()
07/07/07 14:21:40 [Note]: 7019 4
07/07/07 14:21:40 [Note]: 7005 0
07/07/07 14:21:44 [Note]: 7006 0
07/07/07 14:21:44 [Note]: 7027 0
07/07/07 14:21:48 [Note]: FSRAW library version 1.7.1022
07/07/07 14:27:47 [Note]: 7007 0
je ne sais pas si c'es ce que vous vouliez mais la je suis allée faire un petit tour dans l'ordi avec regedit et j'ai trouvé une clé msnsinner que j'ai effacé , je vais voir ce que ca donne en faisant un redemarrage

moK´s@ · Answer

mailskinner?

oui c´est la cause de toutes ces pubs...

j´ai un programme qui trouve ce genre d´infection mais il ne marche pas sous vista, on va regarder comme ca :

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

lavandiere80 · Answer

Logfile of HijackThis v1.99.1
Scan saved at 15:24:37, on 07/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Securitoo\Common\FSM32.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Securitoo\FSGUI\fsguidll.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
C:\Windows\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Common\FSMA32.EXE
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

moK´s@ · Answer

re,

avec hijack this coche ceci :


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [?????????] ??????????????e

quitte tes applications et navigateur et fix les lignes ci dessus.

comment fixer :

Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm


puis 

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

lavandiere80 · Answer

c'est quoi ce truc, mon ordi s'affole en me disant virus risk tool win32.pskillJe sais pas quoi faire l'anti virus bloque

lavandiere80 · Answer

je n'arrive à rien, ce soir besoin du pc pour bosser

lavandiere80 · Answer

Terminated...
the scan report will open now.
You can save the report (Menu files/save as) please copy the content of this reportfile first.

lavandiere80 · Answer

pendant toute la recherche il disait chemi accés refusé ? je sai pas si c'est du à vista

moe · Answer

Salut Lavandiere80, moK´s@

Pas facile quand les outils de désinfections spécifiques ne tournent pas sous Vista...

Lavandiere80, tu as réussi à régler ton problème en MP ou tu cherches toujours une solution ?

a+

lavandiere80 · Answer

je cherche toujours je nage dans le flou

moe · Answer

Salut Lavandiere80

Bah... je crois qu'il va falloir que tu mettes un peu les mains dans le cambouis si tu veux t'en débarraser, à moins que quelqu'un ne propose un tool qui fonctionne sous Vista...

Si tu as un peu de temps devant toi, on peut essayer de débusquer le rootkit installé par Messengerskinner "a la main".

Si tu es partante pour jouer les mécanos :-) dis le moi, je repasserais d'ici une trentaine de minutes si c'est le cas, pour t'indiquer  les premières vérifs à faire.

a+

lavandiere80 · Answer

ok je t'attend

moe · Answer

Ok.

Pemière chose, on va  vérifier  si  le processus à l'origine des pubs est toujours actif et par la même occasion essayer de récupérer son nom exact.
Sa particularité  est qu'il est invisible du gestionnaire des tâches et aussi invisible en tant que fichier,  donc pas vraiment des plus facile à localiser...


Télécharge IceSword ici:
http://202.38.64.10/~jfpan/download/is120en_vista.zip
Et enregistre le sur ton bureau.

Fais un clic droit sur le dossier is120en_vista.zip que tu viens de télécharger et clic sur "Extraire tout".
Dans le nouveau dossier nommé is120en_vista qui sera apparu sur ton bureau, double clic sur le fichier IceSword.exe.

A gauche dans la fenêtre du programme, clic sur "Process" (icône en forme de roue crantée).
Une fois fait, clic dans le menu du haut sur "LOG" (en bleu).
(Voir capture d'écran)
Une boîte de dialogue va s'ouvrir, donne un nom au fichier rapport (lavandiere par exemple :-) ) et enregistre le à un endroit ou tu seras sure de le retrouver facilement (le bureau...).
Ensuite referme la fenêtre d'icesword et n'y touche plus :-).

Si tu as suivie mon exemple tu auras donc sur ton bureau un fichier nommé: lavandiere.log
Ouvre-le et copie et colle tout son contenu dans ton prochain message.

a+

lavandiere80 · Answer

Process:

System Idle Process
System
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Windows\System32\smss.exe
C:\Windows\System32\csrss.exe
C:\Windows\System32\wininit.exe
C:\Windows\System32\csrss.exe
C:\Windows\System32\services.exe
C:\Windows\System32\lsass.exe
C:\Windows\System32\lsm.exe
C:\Windows\System32\winlogon.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Windows\System32\svchost.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Windows\System32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Securitoo\Anti-Virus\fsgk32st.exe
C:\Windows\System32\audiodg.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\SLsvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Securitoo\Common\FSMA32.EXE
C:\Program Files\Securitoo\Anti-Virus\fsgk32.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Securitoo\Common\FSMB32.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Securitoo\Anti-Virus\fsav32.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\SearchIndexer.exe
C:\Windows\System32\drivers\XAudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Securitoo\Common\FCH32.EXE
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Program Files\Securitoo\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Anti-Virus\fsqh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Program Files\Securitoo\Common\FSM32.EXE
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Supervisor.exe
C:\Windows\System32	askeng.exe
C:\Program Files\Securitoo\FSAUA\program\fsaua.exe
C:\Program Files\Securitoo\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\FWES\program\fsdfwd.exe
C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Securitoo\FSAUA\program\fsus.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Windows\explorer.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Windows\System32\msiexec.exe
C:\Windows\System32\dwm.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32	askeng.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\wuauclt.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Windows\System32\jbpdavztov.exe
C:\Windows\System32\wuauclt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Securitoo\FSGUI\fsguidll.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\Elvire\Desktop\is120en_vista\is120en_vista\IceSword.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MessengerSkinner\MessengerSkinner.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Windows\System32\msiexec.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Acer\Empowering Technology\eNet\eNMTray.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\MSN Messenger\usnsvc.exe

lavandiere80 · Answer

avant de faire ca j'avais auparavant fit une restauration pour voir si ca changer mais rien et là je vois dans le rapport msnskinner alors que je l'avais désinstallé selon moi ce matin

lavandiere80 · Answer

Bon je vais bosser là, je reviendrais emain après midi. merci beaucoup, sinon formatage lundi

moe · Answer

C'est le principe de la restauration système :-)
Si ton point de restauration s'est crée pendant que messenger skinner était installé, automatiquement en te servant de ce point de sauvegarde tu réactive l'infection. :-)

N'essayes pas de supprimer  ou désinstaller quoi que ce soit pour l'instant, le rapport icesword à fournis l'élément que je voulais et on va pouvoir passer à l'attaque.
Je te rédige une manip, elle est assez longue et je prends mon temps pour te détailler au maximum la procédure.
Soit patiente :-), je repasse d'ici 20/30  minutes.
(ne redemarre pas ton pc d'ici là)

a+

lavandiere80 · Answer

je prends la releve mais pas aussi doué qu'elle

moe · Answer

Salut

Prends juste le temps de faire étape par étape et n'hésite pas à poser des question si quelque chose n'est pas clair.


Sinon, le responsable des pubs est localisé :-)

il s'agit de C:\Windows\System32\jbpdavztov.exe 

Donc voilà ce que tu vas faire:

1ere Etape: Arrêter les processus

Relance IceSword et clic sur "Process"

Dans la liste des processus fais un clic droit sur MessengerSkinner.exe et dans le menu qui apparait clic sur "Terminate process"
Tu fais ensuite exactement la même chose avec jbpdavztov.exe
et msnmsgr.exe

2eme Etape Suppression des processus

Dans la partie gauche d'Icesword, tu as trois menus: Functions, Registry et File, clic sur "Files".
Dans l'explorateur de fichier, déploies -> [+] LocalDisk (C:), puis déploies -> [+] Windows et clic sur le dossier System32.
Dans la partie droite du programme, tu verras apparaitre tous les fichiers que contiens ce dossier, déroule jusqu'à trouver jbpdavztov.exe 
Dès que c'est fait, tu fais un clic droit dessus puis tu clic sur "Delete"
Fais exactementla même chose ensuite pour:
jbpdavztov.dat
jbpdavztov_navps.dat
jbpdavztov_nav.dat

Dans la partie gauche du programme, déploies maintenant -> [+] Program files
clic sur le dossier Messenger Skinner.
Dans la partie droite du programme,fais un clic droit sur chaques fichiers et clic sur "Force delete"


Une fois fais, referme Icesword et redemarre le pc.

Quand le pc aura redémarré, reposte un rapport hijacthis ainsi qu'un nouveau rapport icesword 
(clic sur "Process", une fois fait, clic dans le menu du haut sur "LOG" (en bleu).
Donne un nom au fichier rapport et copie et colle tout son contenu dans ton prochain message.)

Voilà pour l'essentiel, bon courage à toi qui a pris le relais :-)

lavandiere80 · Answer

je trouve pas jbpdavztov_navps.dat  mais les 2 autres 0K

moe · Answer

C'est pas grave, continue la suite.
Le principal c'est d'avoir trouvé et supprimé jbpdavztov.exe
C'est le cas ?

lavandiere80 · Answer

il se trouve ou le hijacthis? je ne vois rien sur le bureau avec ce nom

moe · Answer

Apparement ici:

C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

lavandiere80 · Answer

Process:

System Idle Process
System
C:\Windows\System32\smss.exe
C:\Windows\System32\csrss.exe
C:\Windows\System32\wininit.exe
C:\Windows\System32\csrss.exe
C:\Windows\System32\services.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Windows\System32\lsass.exe
C:\Windows\System32\lsm.exe
C:\Windows\System32\winlogon.exe
C:\Windows\System32	askeng.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\dwm.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Securitoo\Common\FSMB32.EXE
C:\Windows\System32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\audiodg.exe
C:\Windows\System32\SLsvc.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Securitoo\Common\FSMA32.EXE
C:\Program Files\Securitoo\Anti-Virus\fsgk32.exe
C:\Windows\System32\svchost.exe
C:\Windows\explorer.exe
C:\Windows\System32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Securitoo\Anti-Virus\fsgk32st.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\System32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\SearchIndexer.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Windows\System32\drivers\XAudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Program Files\Securitoo\Common\FCH32.EXE
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Securitoo\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\Common\FAMEH32.EXE
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Program Files\Securitoo\FSAUA\program\fsaua.exe
C:\Program Files\Securitoo\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\FWES\program\fsdfwd.exe
C:\Windows\System32	askeng.exe
C:\Program Files\Securitoo\FSAUA\program\fsus.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Securitoo\Common\FSM32.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Securitoo\FSGUI\fsguidll.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Windows\System32\conime.exe
C:\Users\Elvire\Desktop\is120en_vista\is120en_vista\IceSword.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\wbem\WMIADAP.exe
C:\Program Files\Securitoo\Anti-Virus\fsav32.exe
C:\Acer\Empowering Technology\eNet\eNMTray.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Supervisor.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Internet Explorer\ieuser.exe
en voilà 1

lavandiere80 · Answer

un peu lent mais fallait que je relise votre discusion au debut pour savoir comment ca marche
Logfile of HijackThis v1.99.1
Scan saved at 20:05:08, on 07/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Securitoo\Common\FSM32.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Securitoo\FSGUI\fsguidll.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [jbpdavztov] c:\windows\system32\jbpdavztov.exe jbpdavztov
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{253DE946-738B-4AF3-91FB-E3DDD64BE374}: NameServer = 192.168.1.1,0.0.0.0
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Common\FSMA32.EXE
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

lavandiere80 · Answer

Je viens d'aller sur le net voir comment ca se passait, apparement plus de pub, vous avez contribué à raccourcir la sevère punition qui doit attendre patiemment notre ado qui sait tout. Bonne soirée et merci encore, je pense qu'elle regardera demain de près ce qu'il s'est passé donc elle fermera elle meme le post si tout va bien

moe · Answer

Bon et bien je crois que tu vas pouvoir annoncer à Lavandière que tu viens de terrasser Messenger Skinner et son rootkit :-) Le rapport Icesword et clean, pas de traces de rootkit à l'horizon. Pour le rapport hijackthis, il reste deux lignes dans le registre relatives à l'infection que tu vas supprimer: Relance hijackthis et clic sur "Scanner seulement". Coches la case devant ces deux lignes: O4 - HKLM\..\Run: [jbpdavztov] c:\windows\system32\jbpdavztov.exe jbpdavztov O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe Clic sur "Fixer Objet" Ensuite, recherche et supprime ces fichiers s'ils existent: C:\WINDOWS\pack.epk C:\WINDOWS\msskinner <- le dossier C:\WINDOWS\System32 vs2.inf C:\WINDOWS emp\NSIS_install_msgskinner.exe C:\WINDOWS emp\msksetup.log C:\Program Files\MessengerSkinner <- le dossier C:\User om de ton compte\Application Data\MessengerSkinner Et enfin dernière chose que j'aimerais vérifier, appuie simultanément sur la touche Windows (le drapeau à côté de ALT) et la touche 'r' Dans la boîte dialogue qui va s'ouvrir, tapes cmd et valide. Une fenêtre noire va s'ouvrir, copie et colle ce qui et en bleu ci-dessous dans cette fenêtre: dir /a /o:-d %windir%\system32 | find "2007">>C:\find.txt && notepad C:\find.txt Le bloc note va s'ouvrir avec une liste de noms de fichiers à l'intérieur, copie et colle le contenu dans ton prochain message. Voilà... Et côté pub ? Ca s'est calmé :-)

lavandiere80 · Answer

je sais pas comment chercher, je sais pas la manip
 :c\WINDOWS\pack.epk 
C:\WINDOWS\msskinner <- le dossier 
C:\WINDOWS\System32
vs2.inf 
C:\WINDOWS	emp\NSIS_install_msgskinner.exe 
C:\WINDOWS	emp\msksetup.log 
C:\Program Files\MessengerSkinner <- le dossier 
C:\User
om de ton compte\Application Data\MessengerSkinner

moK´s@ · Answer

fais ceci :

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer ! 

puis tu cherche avec la recherche windows...

lavandiere80 · Answer

ca me fait accès refusé avec cmd , plus de pub

lavandiere80 · Answer

Je ne sais pas si c'est bon mais l'ordi n'a rien trouvé du tout

moe · Answer

Pour l'ado qui sait tout :-), tout est relatif, messenger skinner surfe sur la vague actuelle: MSN et sait  être très attractif.
Ajouter à celà, pas le moindre avertissement ou informations délivrées lors de l'installation sur un éventuel "partenaire" "sponsor" ou "support", il n'en faut pas plus à l'ado confiant pour cliquer sur "Télécharger"...
Peut être qu'une recherche google sur le prog en question lui aurait mis la puce à l'oreille...

Pour les fichiers:
Je ne sais pas si c'est bon mais l'ordi n'a rien trouvé du tout
Normalement il devrait en rester quelques uns, au moins ces 4:
C:\WINDOWS\pack.epk
C:\WINDOWS\System32
vs2.inf
C:\Program Files\MessengerSkinner <- le dossier
C:\User
om de ton compte\Application Data\MessengerSkinner <- le dossier

Suis la manip de moK's@ et va dans le poste de travail puis double clic sur l'icône du disque C:\ et rend toi de dossiers en dossiers en suivant le chemin des fichiers à supprimer.
Bizarre pour le cmd, le compte sur lequel tu es a des droits administrateur ou c'est un compte limité ?

PS pour moK's@:
Bien vu :-) pour le 31
Et...désolé pour l'incruste dans le topic

lavandiere80 · Answer

Microsoft Windows [version 6.0.6000] Copyright (c) 2006 Microsoft Corporation. Tous droits réservés. C:\Users\Elvire>dir /a /o:-d %windir%\system32 | find "2007" 07/07/2007 20:51 3 200 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7 483456-A289-439d-8115-601632D005A0 07/07/2007 20:51 3 200 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7 483456-A289-439d-8115-601632D005A0 07/07/2007 19:58 697 114 perfh00C.dat 07/07/2007 19:58 120 326 perfc00C.dat 07/07/2007 19:58 616 424 perfh009.dat 07/07/2007 19:58 106 678 perfc009.dat 07/07/2007 19:58 . 07/07/2007 19:58 .. 07/07/2007 19:58 1 531 284 PerfStringBackup.INI 07/07/2007 19:57 drivers 07/07/2007 17:32 1 244 672 mcmde.dll 07/07/2007 17:02 wbem 07/07/2007 17:01 config 07/07/2007 17:01 spool 07/07/2007 17:01 CodeIntegrity 07/07/2007 17:01 catroot2 04/07/2007 17:03 catroot 04/07/2007 11:29 22 nvs2.inf 27/06/2007 18:56 185 952 rmoc3260.dll 27/06/2007 18:55 5 632 pndx5032.dll 27/06/2007 18:55 6 656 pndx5016.dll 27/06/2007 18:55 278 528 pncrt.dll 27/06/2007 13:02 XPSViewer 27/06/2007 13:02 fr-FR 27/06/2007 13:02 2 048 tzres.dll 25/06/2007 08:51 WDI 21/06/2007 09:11 1 524 224 wucltux.dll 21/06/2007 09:11 43 352 wups2.dll 21/06/2007 09:11 53 080 wuauclt.exe 21/06/2007 09:11 1 710 936 wuaueng.dll 21/06/2007 09:10 80 896 wudriver.dll 21/06/2007 09:10 33 624 wups.dll 21/06/2007 09:10 549 720 wuapi.dll 21/06/2007 09:10 163 000 wuwebv.dll 21/06/2007 09:10 31 232 wuapp.exe 13/06/2007 09:37 migration 13/06/2007 09:35 84 480 INETRES.dll 13/06/2007 09:35 737 792 inetcomm.dll 13/06/2007 09:35 39 424 ACCTRES.dll 13/06/2007 09:35 205 824 msoeacct.dll 13/06/2007 09:35 87 040 msoert2.dll 13/06/2007 09:33 3 583 488 mshtml.dll 13/06/2007 09:33 1 383 424 mshtml.tlb 13/06/2007 09:33 477 696 mshtmled.dll 13/06/2007 09:33 180 736 ieui.dll 13/06/2007 09:33 6 058 496 ieframe.dll 13/06/2007 09:33 1 152 000 urlmon.dll 13/06/2007 09:33 822 784 wininet.dll 13/06/2007 09:33 27 648 jsproxy.dll 13/06/2007 09:33 124 928 advpack.dll 13/06/2007 09:33 56 832 ie4uinit.exe 13/06/2007 09:33 44 544 iernonce.dll 13/06/2007 09:33 56 320 iesetup.dll 13/06/2007 09:33 26 624 ieUnatt.exe 13/06/2007 09:33 1 824 768 inetcpl.cpl 13/06/2007 09:33 2 455 488 ieapfltr.dat 13/06/2007 09:33 383 488 ieapfltr.dll 13/06/2007 09:32 5 120 wmi.dll 13/06/2007 09:32 152 576 imagehlp.dll 10/06/2007 15:46 LogFiles 06/06/2007 08:38 15 747 032 mrt.exe 31/05/2007 20:49 MAGIX 28/05/2007 22:30 276 712 FNTCACHE.DAT 01/05/2007 15:48 7 680 MsnChatHook.dll 01/05/2007 15:47 7 680 MsnChatHook_org.dll 01/05/2007 11:15 229 888 msshsq.dll 01/05/2007 09:36 4 078 jupdate-1.6.0_01-b06.log 27/04/2007 09:42 65 536 QuickTimeVR.qtx 27/04/2007 09:42 49 152 QuickTime.qts 24/04/2007 11:32 1 485 696 LegitCheckControl.DLL 20/04/2007 11:15 Tasks 20/04/2007 08:32 49 664 csrsrv.dll 20/04/2007 08:32 376 320 winsrv.dll 20/04/2007 08:32 414 208 msscp.dll 20/04/2007 08:32 104 448 DWWIN.EXE 20/04/2007 08:29 974 336 crypt32.dll 20/04/2007 08:28 4 153 344 GameUXLegacyGDFs.dll 20/04/2007 08:28 1 686 016 gameux.dll 20/04/2007 08:27 2 026 496 win32k.sys 20/04/2007 08:27 633 856 user32.dll 18/04/2007 21:17 OEM 18/04/2007 21:05 i386 18/04/2007 21:03 Macromed 18/04/2007 21:02 restore 18/04/2007 14:55 NDF 12/04/2007 04:27 28 308 athrext.cat 10/04/2007 18:49 704 000 athr.sys 10/04/2007 18:48 65 709 netathr.inf 14/03/2007 02:04 69 632 javacpl.cpl 14/03/2007 02:04 139 264 javaws.exe 14/03/2007 00:31 135 168 javaw.exe 14/03/2007 00:31 135 168 java.exe 27/02/2007 14:46 565 760 msvcp50.dll 02/02/2007 00:50 83 760 SilSupp.cpl 19/01/2007 12:53 51 056 sirenacm.dll C:\Users\Elvire>find.txt && notepad 'find.txt' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes. C:\Users\Elvire>C:\find.txt && notepad 'C:\find.txt' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes. C:\Users\Elvire>C:\find.txt

moK´s@ · Answer

y a pas de mal moe, au contraire tu as bien fais de t´incruster...

tu est bien plus callé que moi, j´ai suivie de tres pres tes interventions pour apprendre, mais tu m´en apprends toujours d´avantage...

toujours dans le jardinage? lol

je te laisse finir maintenant.

bonne soirée

moe · Answer

Le rapport mentionne bien C:\WINDOWS\System32
vs2.inf 

04/07/2007 11:29 22 nvs2.inf

Probable que les autres y soit aussi...
Tu arrives à les localiser ? ou toujours rien ?

Sinon mis à part ceci, RAS, quelques fois l'infection messenger skinner génère d'autres processus au nom aléatoire, c'est ce que je voulais vérifier et ce n'est pas le cas sur ton pc.
Ces fichiers ne sont pas à proprement dit infectieux, se sont les restes de l'installation de MessengerSkinner et si tu as du mal à les trouver ou que tu  préfères que Lavandière s'en occupe, çà peut largement attendre demain à tête reposée, l'infection n'en sera pas relancé pour autant :-)

a+

Merci pour le compliment moK's@, mais depuis ce temps là tout à évolué assez vite et j'en apprends aussi tous les jours d´avantage et à tous les niveaux.
Bah, sinon toujours dans le jardinage et côté nature le plus souvent possible oui !, mais surtout... En vacance !!
Bonne continuation à toi.

afideg · Answer

Salut Helsinki ==> hyvää iltaa
Bonsoir Moe

Ah ça non ! Le jardinier c'est moi.
35 pieds de vigne, mûriers, framboisiers, fraisiers, groseilliers, sureau, etc. et le potager au compost de lapins, poules, ....

Merci Moe pour ton enseignement magistral.


PS: c'est quoi ce truc ? 
-R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing) 
-O1 - Hosts: ::1 localhost 
S'il vous plaît . Merci

Al.

moe · Answer

Salut Lavandière80 Juste un petit topo de la situation depuis ton départ au boulot hier soir: La personne qui a pris le relais s'est très bien débrouillée avec les manips successives, le processus responsable des pubs a pu être supprimé et d'après cette personne les pubs ont cessées depuis. Ne sachant pas si les dernières manips ont pu être effectuées, je te remets donc la liste des fichiers à rechercher et supprimer. 1/ Rends visible les fichiers et dossiers cachés: (le dossier Applicaton Data est caché par défaut) Dans n'importe quel dossier, clic dans le menu sur [Organiser] > "Options des dossiers et de recherche" > Onglet "Affichage" Coche la case "Afficher les fichiers et dossiers cachés" et clic sur [OK] pour Appliquer la modification. Ensuite, ouvre le Poste de travail et double clic sur l'icône de ton disque (C:) et suis le chemin des fichiers/dossier à supprimer: Si tu trouve, supprime: C:\WINDOWS\pack.epk C:\WINDOWS\System32 vs2.inf C:\WINDOWS emp\NSIS_install_msgskinner.exe C:\WINDOWS emp\msksetup.log C:\Program Files\MessengerSkinner <- le dossier C:\Users\Elvire\Application Data\MessengerSkinner <- le dossier Une fois fait, tu pourras redécocher la case "Afficher les fichiers et dossiers cachés". Reposte ensuite un dernier rapport hijackthis pour s'assurer que les deux lignes que j'avais demandé de supprimer à la personne qui t'as remplacé, n'existent plus. 2/ Apparement tu n'as pas l'air d'avoir de logiciel Antispyware et ce serait peut être judicieux d'en installer un et scanner ton pc avec. AVG Antispyware est très bien et fonctionne sous Vista. - Le tutorial - Le site de l'éditeur - Le lien direct de téléchargement Le programme est totalement gratuit pendant 30 jours, passé ce délais il reste gratuit mais perd 2 fonctions: - La protection en temps réel (même principe de surveillance qu'un AV) - La mise à jour automatique La perte de ces deux fonctions ne sera pas génante si tu utilises ce programme pour simplement faire un checkup du pc à intervalles réguliers. De plus, il sera toujours possible de mettre à jours la base virale manuellement via l'interface du logiciel, ce qui est désactivé c'est seulement l'automatisation de la recherche des MAJ. Bonne continuation et bonne journée !. Ps pour afigeg: Pour la R3 (Fai Orange) https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/#RDiag et pour ::1 localhost https://fr.wikipedia.org/wiki/Localhost Les deux lignes sont cleans.

afideg · Answer

Bonjour et merci Moe,

J'ai été influencé aussi par les quatre petits points  O1 - Hosts: ::1 localhost .
Je pensais qu'ils n'apparaissaient qu'avec la version bêta de HijackThis.
Or, l'internaute utilise la version Bordeaux ( non l'originale ).

Bon dimanche
Al.

moe · Answer

Salut afideg

C'est ce que je pensais aussi au départ, mais apparement il s'agit d'une affaire de protocole IP si j'ai bien compris ce qui est dit sur le lien :-)
XP tourne sous IPv4 tandis que Vista est passé au protocole IPv6, ce qui explique la légère différence du Hosts.
Avec IPv4 -> 127.0.0.1 Localhost  ou 1 Localhost
et avec IPv6 -> ::1 Localhost

PS pour Lavandière et l'ado qui sait tout :-):

Vous trouverez ici, les 1300 icônes environ, "récupérées" et regroupées dans un pack de 10Mo, qu'est sensé offrir Mailskinner/MessengerSkinner au coup par coup.
En contre partie des désagréments occasionnés (les pubs proposées sont pour la plupart vectrices d'autres infections) et de l'hypocrisie...Heu pardon lol... Du "flou" législatif mondial qui a du mal à s'accorder sur la désignation/qualification exacte du mot Spyware, bah j'estime qu'en attendant,  ce petit pack et le moindre des dédomagements...

Enjoy :-)

afideg · Answer

Moe,
Oui tout à fait; j'ai bien lu.
Bien heureusement, l'internaute ( avertie de son outil, et assurément à la hauteur de plus d'un ) nous avait annoncé utiliser Vista : ( Configuration: Windows Vista et Internet Explorer 7.0 ) à l'ouverture du topic.
Ce qui n'apparaît pas dans le log HJT : [Platform: Unknown Windows (WinNT 6.00.1904)] .
Bien lu ton lien ( et d'autres depuis ) qui m'a permis la juste explication; et qui convainc que ces caractères :: en "Hosts: ::1 localhost" sont indépendants de la version HijackThis.
Sans tes précisions, je partais encore sur une voie erronée du ouï-dire.
Bonne soirée.
Al.

lavandiere80 · Answer

bonjou me revoilà,je vous remercie de m'avoir aider maintenant  j'ai du temps pour terminer notre affaire voici ce que je viens de faire
C:\WINDOWS\pack.epk _______________________________________pas trouvé
C:\WINDOWS\System32
vs2.inf _______________________________retirer
C:\WINDOWS	emp\NSIS_install_msgskinner.exe _________________retirer
C:\WINDOWS	emp\msksetup.log ______________________________retirer
C:\Program Files\MessengerSkinner <- le dossier ___________________retirer
C:\Users\Elvire\Application Data\MessengerSkinner  ________________pas d'accés pourtant je pense que je suis l'administrateur?????
Logfile of HijackThis v1.99.1
Scan saved at 11:45:22, on 13/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Launch Manager\LManager.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Securitoo\Common\FSM32.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Securitoo\FSGUI\fsguidll.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [jbpdavztov] c:\windows\system32\jbpdavztov.exe jbpdavztov
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{253DE946-738B-4AF3-91FB-E3DDD64BE374}: NameServer = 192.168.1.1,0.0.0.0
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Common\FSMA32.EXE
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

moe · Answer

Salut Lavandière80 

Je sais pas si la personne qui t'as remplacé pour les manips, a fait celle concernant hijackthis:

Relance hijackthis et clic sur "Scanner seulement".
Coches la case devant ces deux lignes:
O4 - HKLM\..\Run: [jbpdavztov] c:\windows\system32\jbpdavztov.exe jbpdavztov
Clic sur "Fixer Objet"

Apparement non puisque cette ligne ne devrait plus exister, donc supprimes-la.

Relance icesword si tu l'as toujours, sinon retélécharges-le, le lien est dans les posts précédants.

Dans la partie gauche d'Icesword, tu as trois menus: Functions, Registry et File, clic sur "Files".
Dans l'explorateur de fichier, déploies -> [+] LocalDisk (C:), puis déploies :
[+] Users
  [+] Elvire
    [+] Application Data
et fais un clic droit sur le dossier Messengerskinner, puis clic sur "Force delete".

Referme icesword et vérifies ensuite que C:\Users\Elvire\Application Data\MessengerSkinner a bien été supprimé.

Relance une nouvelle fois icesword, et à gauche dans la fenêtre du programme, clic sur "Process" (icône en forme de roue crantée).
Une fois fait, clic dans le menu du haut sur "LOG" (en bleu).
Sauvegarde le rapport et poste son contenu  dans ton prochain message.

Pour ce qui est des pubs, elles sont toujours présentes ou elles ont disparues ?

a++

lavandiere80 · Answer

je viens de faire ce que vous me demandez mai dans le dossier application data avec iceword est vide????

lavandiere80 · Answer

je vais preparer le repas, on se retrouve en debut d'après midi

moe · Answer

tu as cliqué sur  le signe '+' qui est juste devant,  pour déployer le dossier Application Data

Le dossier Messengerskinner, apparaitra en dessous d'Application Data.

lavandiere80 · Answer

oui bien sur mais il n'y a rien du tout

moe · Answer

Bon...

On va procéder autrement alors.
D'abord revérifie que le dossier Messengerskinner est bien présent dans :
C:\Users\Elvire\Application Data
Passes par le poste de travail  > clic sur l'icone du disque C: > Users > Elvire > Application Data
Si effectivement le dossier est présent et seulement dans ce cas, alors :

# Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

# Double-clique sur OTMoveIt.exe pour le lancer.

# Copie le texte qui se trouve en bleu ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.
C:\Users\Elvire\Application Data\MessengerSkinner
# Clique sur MoveIt! pour lancer la suppression.
# Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
# Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

Bon appétit et à plus tard !

lavandiere80 · Answer

C:\Users\Elvire\Application Data\MessengerSkinner\Userdata moved successfully.
Folder cleanup  failed. C:\Users\Elvire\Application Data\MessengerSkinner scheduled to be deleted on reboot.
File/Folder  not found.
 
Created on 07/13/2007 13:04:39
Je ne sais pas si c'est ca que vous attendiez , l'ordinateur a fait un redemarrage aussitot
La je suis dans C: _OTMovelt MovedFiles users elvire application data et je vois messengerskinner
je vous attends pour savoir si je dois le retirer

moe · Answer

OTMovelt a fait son travail, c'est bien.

Avant de supprimer quoi que ce soit, vérifies que le dossier Messengerskinner n'est plus présent dans :
C:\Users\Elvire\Application Data
Passes par le poste de travail > clic sur l'icone du disque C: > Users > Elvire > Application Data

Si c'est le cas tu pourras supprimer définitivement  tous le dossier  C:\_OTMovelt
Ce dossier contient tout ce qu'il lui a été ordonné de déplacer/supprimer, et en cas de fausse manipulation ça permet de pouvoir réintégrer un fichier ou dossier malencontreusement supprimé.
Bah je suppose que tu ne souhaites pas garder le dossier MessengerSkinner lol , alors tu peux supprimer  C:\_OTMovelt sans soucis ni regrets.

Qu'en est-il au niveau des pubs ?

a+

lavandiere80 · Answer

le probleme est que je ne peux toujours pas aller dans application data car accés refusé donc je peux pas vérifier

lavandiere80 · Answer

j'essaie de supprimer C:\_OTMovelt mais sans succes pour l'instant, je vois aussi qu'un autre probleme vient apparaitre avec windows mail qui ne veut pas vider les elements supprimes. Pour le probleme de pub , il n'y en a plus du tout, ca a été efficace

moe · Answer

Je vois...
Il doit surement y avoir une restriction avec Vista pour pouvoir accéder à certains dossiers.
Je vais faire quelques recherches pour voir s'il y a une option qui permet d'y accéder, car je n'ai jamais utilisé  Vista.
Est-ce que par hasard si tu fais un clic droit sur le dossier tu n'aurais pas un intitulé: "Ouvrir en tant qu'administrateur" ou quelque chose d'équivalent ?
Je te tiens au courant dès que j'ai trouvé quelque chose en tout cas.

a+

lavandiere80 · Answer

oui souvent il y a ca mais là rien du tout, c'est pour ca que je suis étonnée là

moe · Answer

J'ai trouvé ceci pour l'instant:
http://blogs.developpeur.org/tom/archive/2006/10/05/24524.aspx
Ca peut valoir le coup de tenter.

a+

lavandiere80 · Answer

ca marche j'ai réussi à rentrer dedans mais je ne trouve pas messenger skinner , par contre pour retirer_OTMovelt j'ai fait un mode sans echec pour l'enlever

moe · Answer

_OTMovelt me voulait pas se supprimer  en mode normal  ?

Donc si je résume bien:

Le dossier C:\Users\Elvire\Application Data\MessengerSkinner , n'existe plus.
Tu as supprimé  C:\_OTMovelt

Pour ma part tu en a fini au niveau des suppression des restes de Messengerskinner.

Reposte un dernier rapport hijackthis pour vérifier si la ligne que je t'avais demandé de supprimer n'existe plus et je crois qu'on en aura fini.
A moins que tu aies encore des pubs ?

a+

lavandiere80 · Answer

j'avais pas bien regardé, fini par trouver messengerSkinner , je l'ai supprimé. merci beaucoup pour votre aide, Je vais maintenant chercher pour mon probleme de windows mail qui ne veut pas vider les elements supprimer , je vais certainement ouvri un autre dossier et fermer celui ci dès votre accord que le probleme est definitivement terminer

moe · Answer

De rien, c'était avec plaisir si j'ai pu te rendre service.

Je ne pourrais pas te conseiller pour Windows Mail, mais tu peux toujours jeter un oeil ici, on sait jamais:
http://www.faqoe.com/rep/wmsupprecep.html

Au fait, tu ne m'as répondu...
Toujours des pubs ?

Bonne continuation.

lavandiere80 · Answer

Logfile of HijackThis v1.99.1
Scan saved at 15:47:16, on 13/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Securitoo\Common\FSM32.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Securitoo\FSGUI\fsguidll.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [jbpdavztov] c:\windows\system32\jbpdavztov.exe jbpdavztov
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{253DE946-738B-4AF3-91FB-E3DDD64BE374}: NameServer = 192.168.1.1,0.0.0.0
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Common\FSMA32.EXE
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

lavandiere80 · Answer

PLUS DE PUBLICITE.VOUS AVEZ GAGNE. BELLE VICTOIRE

moe · Answer

Relance hijackthis et clic sur "Scanner seulement".
Coches la case devant cette ligne:

O4 - HKLM\..\Run: [jbpdavztov] c:\windows\system32\jbpdavztov.exe jbpdavztov

Clic sur "Fixer Objet" 

a++

moe · Answer

PLUS DE PUBLICITE.VOUS AVEZ GAGNE. BELLE VICTOIRE

On a gagné lol, c'est toi qui a fait le plus dur :-)

Content pour toi !

a+

lavandiere80 · Answer

je l'ai déjà fait plusieurs fois mais il revient le bougre pourtant je le fixe à chaque fois

moe · Answer

Merci pour le compliment Lavandière, pour ma part je suis content d'avoir pu partager un peu de mon hobby au travers de cette petite chasse au virus :-) 
Bah, je te rappelle que je n'ai jamais utilisé Vista, donc ce que tu appelles de la "capacité à vous adapter à notre niveau de novice", moi j'appelle çà apprendre en même temps que toi ! :-)

Pour en revenir à la ligne qui fait de la résistance avec hijackthis, soit Vista ne lui permet pas d'acceder au registre, puisque la ligne à supprimer correspond à une valeur dans le registre ou soit la version traduite en français que tu utilises a quelques soucis avec Vista.

Télécharge la dernière version d'hijackthis ici:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe
Et enregistre le sur ton bureau.
Avant de le lancer, fait un clic droit sur HiJackThis.exe et lance le avec la fonction "executer en tant qu'administrateur" ou l'équivalent.
Puis clic sur le bouton [Do a system scan only]
Coche la case devant:
O4 - HKLM\..\Run: [jbpdavztov] c:\windows\system32\jbpdavztov.exe jbpdavztov 
Puis clic sur [Fix checked]

Relance ensuite Hijackthis et cette fois clic sur le bouton [Do a system scan and save logfile] pour générer le rapport et poste le sur le forum en espérant que cette satanée ligne aura bien disparue cette fois !

a++

lavandiere80 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:45, on 14/07/2007
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Securitoo\Common\FSM32.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Windows\system32	askeng.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Program Files\Securitoo\FSGUI\fsguidll.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Elvire\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O13 - Gopher Prefix: 
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{253DE946-738B-4AF3-91FB-E3DDD64BE374}: NameServer = 192.168.1.1,0.0.0.0
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Common\FSMA32.EXE
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

lavandiere80 · Answer

voilà le resultat, bon 14 juillet

moe · Answer

Bonjour Lavandière

Ca a marché cette fois, la ligne a bien disparue.

Je vois que tu as installé AVG Antispyware, tu as scanné ton pc avec ?
Qu'a donné le résultat de cette analyse ?

Sinon, rien à signaler,  et je crois que si tout va bien de ton côté, on en aura terminé.

a+

lavandiere80 · Answer

bonjour ,oui j'ai fait un scan avec AVG Antispyware ,il a trouvé des cookies que j'ai supprimé. sinon rien d'autre ,par contre le scan a duré très longtemps, j'etais suprise.
sinon j'ai un autre probleme avec windows mail , j'ai des messages dans le dossier supprimé que je n'arrive pas à effacer pour certain mais pour l'nstant ca ne me gene pas mais si jamais vous voyez quelque chose à y faire, je suis preneuse. voilà je suis ravie que tout va bien maintenant. bonne soirée

lavandiere80 · Answer

j'ai aussi mis un mot de passe sur mon portable pour qu'il ne subisse plus l'assaut des enfants.

moe · Answer

Tout dépend de ce que tu appelles très longtemps, mais généralement c'est proportionnel au nombre de fichiers à scanner et ça peut prendre autant de temps qu'un scan antivirus, c'est à dire...Pffiu !...Très longtemps :-)
Donc il ne t'a rien détecté de méchant juste quelques cookies, c'est déjà une bonne chose.

Pour ton soucis avec Windows Mail, apparement tu n'es pas la seule à avoir ce problème...
Mais bon, difficile de trouver une vrai solution, est-ce que tu as lu ce qui est dit ici:
http://www.faqoe.com/rep/wmsupprecep.html
Tu peux essayer de faire étape par étape les solutions proposées...

Sinon un internaute a semble t-il trouvé un moyen ici (post 18):
windows mail vista#18

Désolé, c'est un peu maigre mais là... je sèche.

a++

lavandiere80 · Answer

super votre solution 1 a très bien fonctionné, maintenant tout va bien , je vous remercie encore et demain je ferme le post. bon week end

moe · Answer

Content pour toi Lavandière.

Bonne continuation et bon surf :-)

lavandiere80 · Answer

Merci d'avoir suivi mon dossier jusqu'au bout, bonne continuation

lavandiere80 · Answer

probleme terminé

Désinstaller msn skinner avec vista

77 réponses

Votre réponse

Discussions similaires

Newsletters