Sujet Précédent Sujet Suivant

Pc infecté,pub, registre modifié..help please

Résolu/Fermé
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009 - 21 juil. 2007 à 15:35
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 - 30 juil. 2007 à 16:52
bonjour à tous,
je viens de faire un scan avec spybot qui m'indique pas mal d'infections, j'ai avira comme antivirus qui ne m'a rien détecté et winpatrol qui n'a rien vu venir non plus apparemment, pourtant en effectuant une vérification avec spybot je constate des modifications du registre et pas mal d'éléments infectés.
Je recommence à avoir des pub intempestives au sujet d'infection pc et j'ai déjà eu ce problème il y a peu de temps, problème qui m'a couté un nettoyage complet et une remise a zero de mon pc chez un depanneur car je n'ai pas le cd d'installation xp, en fait mon pc était infecté par trojans, rootkit , code heurt et ce même type de virus qui ont fini par prendre possession de mon pc (fichiers corrompus, logiciels innutilisables, adresse ip bloquée et plus de connexion jusqu'à ca que j'arrive à me faire aider pour récupèrer une connexion alors que j'ai cherché de l'aide sur un forum par le biais de qui j'ai suivi les conseils de faire un rapport Hidjack this et un scan en ligne avec panda malheureusement suite à ce scan en ligne j'ai perdu totalement ma connexion et j'avais un message disant que mon systeme allais fermer dans 30sec j'ai essayé de faire ce que j'ai pu et mon pc a definitivement planté donc direction dépanneur)
voilà, je recherche de l'aide sur votre forum car lorsque j'ai voulu revenir vers la personne qui m'a gentillement prêté attention je ne pouvai plus y accèder hors peut-être que je n'ai pas été prise au sérieux n'ayant plus de connexion et pas d'autre pc je n'ai pas pu les tenir informé pendant 1bonne semaine.. en bref je ne suis pas une pro de l'informatique mais je sais que j'ai tout intérêt à résoudre ce problême avant qu'il n'empire donc si quelqu'un peut m'aider je vous en serai vraiment très reconnaissante.Merci d'avance
RE: je dois peut-ètre ajouter j'ai reçu des message via msn de la part de mes amis qui n'étaient pas connectés me proposant d'accepter de partager des fichiers hors je n'ai pas accepté mais je ne suis pas seule à utiliser mon pc et mon ami a déjà accepté ce message mais n'a rien reçu comme fichier..
A voir également:

81 réponses

Réponse 1 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 16:16
salut sicat,

ca parait desastreux vu comme ca...

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


puis

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

et

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

hijack this :

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

@+

bon courrage
0
Réponse 2 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 16:33
merci pour ton aide donc je te poste le repport avec navilogue parcontre lors de la recherche du coup je n'ai pas arrêté d'avoir des messages signalant code heurt crypted de la part de mon antivirus avira mais je les ai tous ignoré pour suivre uniquement tes consignes tes consignes..
voici le premier rapport en espèrant que ce ne soit pas si désatreux..
Search Navipromo version 2.0.5 commencé le 21/07/2007 à 16:23:29,73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\PackardBell\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
**
C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
***
****
C:\WINDOWS\system32\lxxdtgxxd_navps.dat trouvé !
*****
******
*******
********

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 21/07/2007 à 16:26:42,28 ***
0
Réponse 3 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 16:40
je te poste ici le rapport fix
MSN_Fix 1.337

C:\Documents and Settings\PackardBell\Bureau\MSNFix\MSNFix
Fix exécuté le 21/07/2007 - 16:36:08,50 By PackardBell
mode normal

************************ Recherche les fichiers présents

... C:\WINDOWS\_default.pif

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\WINDOWS\_default.pif



************************ Nettoyage du registre



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 21072007_16372290.zip

Info ... Info .... Info .... Info .... Info .... Info

Le groupe "Casahack Security Team" propose une copie de MSNFix sous le nom de MSN_reg
Ce groupe n'est et n'a jamais été associé à MSNFix
l'outil diffusé sous l appellation MSN_reg par Net-Viper n est qu'une copie de MSNFix
Alerte diffusée le 14 juillet http://sosvirus.changelog.fr/Alerte_copieur.html

MSNFix ne dispose d'auncun site de téléchargement miroir
Seule la version téléchargée à partir de changelog.fr peut être estampillée officielle.

Info ... Info .... Info .... Info .... Info .... Info

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------
Commande ECHO d‚sactiv‚e.
--------------------------------------------- END ---------------------------------------------
0
Réponse 4 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 16:43
re,

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

post le rapport

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 17:11
re,
voici le rapport de nettoyage navilog
Clean Navipromo version 2.0.5 commencé le 21/07/2007 à 16:57:49,84

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight



*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\PackardBell\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\PackardBell\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
C:\WINDOWS\System32\lxxdtgxxd.dat trouvé !
Copie C:\WINDOWS\system32\lxxdtgxxd.dat réalise avec succes !
C:\WINDOWS\system32\lxxdtgxxd.dat supprimé !

**
***
****
C:\WINDOWS\System32\lxxdtgxxd_navps.dat trouvé !
Copie C:\WINDOWS\system32\lxxdtgxxd_navps.dat réalise avec succes !
C:\WINDOWS\system32\lxxdtgxxd_navps.dat supprimé !

*****
C:\WINDOWS\System32\lxxdtgxxd_nav.dat trouvé !
Copie C:\WINDOWS\system32\lxxdtgxxd_nav.dat réalise avec succes !
C:\WINDOWS\system32\lxxdtgxxd_nav.dat supprimé !

******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 21/07/2007 à 17:03:27,42 ***


Sinon même probleme avec mon antivirus lors du nettoyage et j'ai continué de l'ignoré..
J'ai posté le rapport msn fix que tu m'as demandé de faire et ensuite avant de t'envoyer ce 2eme rapport navilog j'ai tenté de suivre ta procédure concernant SDFix mais je n'arriv pas à redémarrer en mode sans échec lorsque je presse f8 comme tu me l'a demandé il me propose de redémarrer sur mon disque dur ou sur mon lecteur cd j'avais déjà réussi à le redémarrer en mode ss echec manuellement mais je ne me souviens plus de la procédure si tu peux m'aider aussi là dessus..Merci..
autre chose est-ce mon antivirus était corrompu car il n'apparait plus je me demande s'il a été nettoyé du coup..
0
Réponse 6 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 17:14
re,

ok c´est bon pour navilog get msn fix...

pour le mode sans echec :

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

note bien comment ca se déroule car sinon tu auras des problemes pour revenir en mode normal


@+
0
Réponse 7 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 17:57
voici le rapport SDFix
SDFix: Version 1.92

Run by PackardBell on 21/07/2007 at 17:28

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\PACKAR~1\Bureau\DOSSIE~1\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------


Files with Hidden Attributes:

C:\Program Files\BillP Studios\WinPatrol\_Setup.dll
C:\Program Files\BillP Studios\WinPatrol\Setup.exe

Finished
parcontre j'ai une alerte de winpatrol comme quoi scotty a détecté une modification dans le fichier HOSTS emplacement win\syst32\drivers\etc\hosts et me propose de l'accepter ou de la refuser je peux également désactiver la surveillance de ce fichier je ne sais pas trop quoi faire si tu peux me conseiller..
Merci
0
Réponse 8 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 18:00
re,

fais ceci :

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici
0
Réponse 9 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 18:07
enfait pour winpatrol j'ai accepté la modification jespère avoir birn fait j'ai consulté l'ancien fichier qui regroupait enormément d'adresses ip de différentes très mauvaises adresses et le nouveau fichiers qui ne signalait qu'une adresse ip appelée localhost
0
Réponse 10 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 18:09
oui tu as bien fais je pense que c´est lié au passge de navilog...

passe clean
0
Réponse 11 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 18:15
ok merci je te poste ici le rapport Hijaxkthis et je m'occup de clean parcontre mon antivirus continue dès que je fais des scans et les pub securité reviennent enfin c normal je pense étant donné qu'on a pas terminé..
voilà le rapport
Logfile of HijackThis v1.99.1
Scan saved at 18:11:41, on 21/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 12 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 18:20
voici pour le rapport de clean c tout ce que j'ai..
21/07/2007 a 18:18:22,89

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
0
Réponse 13 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 18:21
ok j´attends clean

apres on fera autre chose..
0
Réponse 14 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 18:28
j'ai un message de mon antivirus disant c:\progfiles\...\hijackthis vf.exe the heuristic detected a suspicious file (PCK/Dumped) soit il détecte un virus dans hijackthis et c'est arrivé tout à l'heure lors du scan hijack je l'ignore mais je me demande si j'ai pas tout intérêt à virer mon antivirus qui m'a l'air d'être sous mauvais contrôle il se manifeste uniquement lors des scans comme s'ils le dérangeaient alors qu'il ne bouge pas autrement de plus mon icone avais disparu tout à l'heure et a réapparu au dernier redémarrage..??
0
Réponse 15 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 18:33
re,

c´est antivir c´est ca?

ignore le pour le moment...

fais ceci :

Télécharge LopxpMH sur ton Bureau.

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

@+
0
Réponse 16 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 18:42
mon antivirus c'est avira antivir
voici le rapport LopxpMH
Rapport lopxpMH2 version 2.0 fait à 18:40:10,07 le 21/07/2007
C:\Documents and Settings\PackardBell

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\Administrateur\Application Data

12/07/2007 14:36 <REP> .
12/07/2007 14:36 <REP> ..
12/07/2007 14:36 <REP> Microsoft
12/07/2007 14:36 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 68 711 014 400 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

12/07/2007 14:36 <REP> .
12/07/2007 14:36 <REP> ..
12/07/2007 14:36 <REP> Microsoft
12/07/2007 14:38 2 128 656 IconCache.db
1 fichier(s) 2 128 656 octets
3 Rép(s) 68 711 010 304 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\All Users\Application Data

12/07/2007 13:50 <REP> .
12/07/2007 13:50 <REP> ..
12/07/2007 21:02 <REP> AntiVir PersonalEdition Classic
17/07/2007 18:06 <REP> Apple Computer
12/07/2007 15:02 <REP> CyberLink
12/07/2007 22:54 <REP> Google
21/07/2007 14:10 <REP> HP
12/07/2007 13:50 <REP> Microsoft
12/07/2007 21:37 <REP> MSN6
21/07/2007 14:04 <REP> Sonic
13/07/2007 00:27 <REP> Spybot - Search & Destroy
12/07/2007 21:19 305 addr_file.html
12/07/2007 13:51 62 desktop.ini
21/07/2007 13:51 1 088 hpzinstall.log
3 fichier(s) 1 455 octets
11 Rép(s) 68 711 010 304 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\Default User\Application Data

12/07/2007 13:50 <REP> .
12/07/2007 13:50 <REP> ..
12/07/2007 13:50 <REP> Microsoft
12/07/2007 13:51 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 68 711 010 304 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

12/07/2007 13:51 <REP> .
12/07/2007 13:51 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 68 711 010 304 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\LocalService\Application Data

12/07/2007 13:43 <REP> .
12/07/2007 13:43 <REP> ..
12/07/2007 13:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 68 711 010 304 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

12/07/2007 13:43 <REP> .
12/07/2007 13:43 <REP> ..
12/07/2007 13:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 68 711 010 304 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\NetworkService\Application Data

12/07/2007 13:43 <REP> .
12/07/2007 13:43 <REP> ..
12/07/2007 13:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 68 711 010 304 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

12/07/2007 13:43 <REP> .
12/07/2007 13:43 <REP> ..
12/07/2007 13:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 68 711 006 208 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\PackardBell\Application Data

12/07/2007 13:44 <REP> .
12/07/2007 13:44 <REP> ..
12/07/2007 20:34 <REP> Adobe
12/07/2007 20:28 <REP> Ahead
13/07/2007 13:54 <REP> CyberLink
21/07/2007 14:11 <REP> HP
12/07/2007 13:44 <REP> Identities
12/07/2007 15:08 <REP> InterTrust
12/07/2007 20:52 <REP> Macromedia
12/07/2007 13:44 <REP> Microsoft
12/07/2007 21:19 <REP> Mozilla
12/07/2007 21:37 <REP> MSN6
15/07/2007 16:50 <REP> WinPatrol
12/07/2007 13:44 62 desktop.ini
1 fichier(s) 62 octets
13 Rép(s) 68 711 006 208 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Documents and Settings\PackardBell\Local Settings\Application Data

12/07/2007 13:44 <REP> .
12/07/2007 13:44 <REP> ..
21/07/2007 14:10 <REP> ApplicationHistory
12/07/2007 22:54 <REP> Google
21/07/2007 14:11 <REP> HP
13/07/2007 01:14 <REP> Identities
21/07/2007 14:11 <REP> IsolatedStorage
12/07/2007 13:44 <REP> Microsoft
12/07/2007 21:19 <REP> Mozilla
17/07/2007 18:07 <REP> OLYMPUS
12/07/2007 20:22 77 312 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
21/07/2007 14:10 134 fusioncache.dat
21/07/2007 13:50 17 032 GDIPFONTCACHEV1.DAT
12/07/2007 13:48 3 712 656 IconCache.db
4 fichier(s) 3 807 134 octets
10 Rép(s) 68 711 006 208 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

12/07/2007 13:03 <REP> .
12/07/2007 13:03 <REP> ..
12/07/2007 13:03 <REP> Microsoft
12/07/2007 13:03 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 68 711 006 208 octets libres
Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

12/07/2007 13:03 <REP> .
12/07/2007 13:03 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 68 711 006 208 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle SYSTEM
Le numéro de série du volume est F495-07BC

Répertoire de C:\Program Files

21/07/2007 18:10 <REP> .
21/07/2007 18:10 <REP> ..
12/07/2007 15:08 <REP> Adobe
12/07/2007 15:04 <REP> Ahead
12/07/2007 14:49 <REP> Analog Devices
20/07/2007 16:31 <REP> AntiVir PersonalEdition Classic
12/07/2007 20:58 17 180 760 antivir_workstation_win7u_en_h.exe
15/07/2007 16:50 <REP> BillP Studios
12/07/2007 23:34 <REP> BitComet
13/07/2007 02:16 <REP> CCleaner
12/07/2007 12:57 <REP> ComPlus Applications
12/07/2007 15:02 <REP> CyberLink
12/07/2007 15:02 <REP> CyberLink DVD Solution
12/07/2007 15:03 <REP> Fichiers communs
21/07/2007 13:59 <REP> Hewlett-Packard
21/07/2007 18:11 <REP> Hijackthis Version Française
21/07/2007 13:59 <REP> HP
21/07/2007 14:01 <REP> Internet Explorer
12/07/2007 14:46 <REP> Messenger
12/07/2007 13:01 <REP> microsoft frontpage
12/07/2007 14:43 <REP> Movie Maker
19/07/2007 15:22 <REP> Mozilla Firefox
12/07/2007 12:57 <REP> MSN
12/07/2007 12:57 <REP> MSN Gaming Zone
12/07/2007 21:55 <REP> MSN Messenger
17/07/2007 18:03 <REP> MSXML 4.0
21/07/2007 17:03 <REP> Navilog1
12/07/2007 14:43 <REP> NetMeeting
17/07/2007 18:05 <REP> OLYMPUS
12/07/2007 14:43 <REP> Outlook Express
13/07/2007 13:54 <REP> Poker
17/07/2007 18:06 <REP> QuickTime
12/07/2007 20:42 <REP> SAGEM
12/07/2007 20:41 <REP> Securitoo
12/07/2007 13:00 <REP> Services en ligne
13/07/2007 00:43 <REP> Spybot - Search & Destroy
11/03/2004 13:27 40 960 Uninstall_CDS.exe
21/07/2007 17:41 <REP> Wanadoo
12/07/2007 15:04 <REP> Windows Media Player
12/07/2007 12:57 <REP> Windows NT
12/07/2007 13:01 <REP> xerox
2 fichier(s) 17 221 720 octets
39 Rép(s) 68 711 002 112 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\PACKARDBELL\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\2L44PSFG.DEFAULT\HOSTPERM.1

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
Réponse 17 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 19:06
re,

avec hijack this coche ceci :

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

quitte tes applications et navigateur et fix les lignes ci dessus.

par panneau de configuration ajout et supression de programme supprime ceci :

C:\Program Files\BitComet\tools\BitCometBHO

puis :

*Télécharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

- Dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis clic en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs" et tu auras un message pour sauvegarder ta base de registre tu clic "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites, tu pourras les supprimer si ton ordinateur n'a plus de problémes.

- Relance Ccleaner, vas dans l'onglet "nettoyeur" présent sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"

Si tu as besoin d'aide avec Ccleaner, regarde ce tutoriel :
https://kerio.probb.fr/

dis moi quoi

0
Réponse 18 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 20:10
re,
j'ai donc supprimé mon programme bitcomet et suivi tes consignes pour le fix hijackthis ainsi que pour ccleaner parcontre d'erreur est-ce que je dois "fusionner" les inscriptions dans le registre ou juste garder de côté les fichier enregistrés après réparation de ccleaner?
et par rapport à titan poker je l'ai fixé est-ce qu'il est nécessaire que je le supprime aussi?
sinon j'ai toujours les pubs alerte sécurité et le problème avec avira..
0
Réponse 19 / 81
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
21 juil. 2007 à 20:18
re,

oui supprime titan poker

oui tu garde de coté les réparation de ccleaner si tu as des problemes dans ce cas tu les fusionne avec le registre

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)


* FAIS UN CLIC-DROIT sur le lien ci dessous

http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)


* télécharge Navipromo.zip (par lazzzy)

http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
et décompresse-le sur ton bureau

* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

https://forum.pcastuces.com/default.asp#haut

à la lettre C

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.


* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois

* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\


0
Réponse 20 / 81
sicat Messages postés 55 Date d'inscription samedi 21 juillet 2007 Statut Membre Dernière intervention 5 juillet 2009
21 juil. 2007 à 20:47
ok bon apparement ça ne veut rien savoir j'ai enregistré les 2liens avc mozilla car IE ne me laissai pas appliquer cette consigne et sinon impossible de telecharger Navipromo lorsque je clique dessus il ne veut pas m'afficher la page sois disant la page a été supprimée..
0