Pc infecté,pub, registre modifié..help please

Résolu
sicat Messages postés 55 Statut Membre -  
moK´s@ Messages postés 4410 Statut Membre -
bonjour à tous,
je viens de faire un scan avec spybot qui m'indique pas mal d'infections, j'ai avira comme antivirus qui ne m'a rien détecté et winpatrol qui n'a rien vu venir non plus apparemment, pourtant en effectuant une vérification avec spybot je constate des modifications du registre et pas mal d'éléments infectés.
Je recommence à avoir des pub intempestives au sujet d'infection pc et j'ai déjà eu ce problème il y a peu de temps, problème qui m'a couté un nettoyage complet et une remise a zero de mon pc chez un depanneur car je n'ai pas le cd d'installation xp, en fait mon pc était infecté par trojans, rootkit , code heurt et ce même type de virus qui ont fini par prendre possession de mon pc (fichiers corrompus, logiciels innutilisables, adresse ip bloquée et plus de connexion jusqu'à ca que j'arrive à me faire aider pour récupèrer une connexion alors que j'ai cherché de l'aide sur un forum par le biais de qui j'ai suivi les conseils de faire un rapport Hidjack this et un scan en ligne avec panda malheureusement suite à ce scan en ligne j'ai perdu totalement ma connexion et j'avais un message disant que mon systeme allais fermer dans 30sec j'ai essayé de faire ce que j'ai pu et mon pc a definitivement planté donc direction dépanneur)
voilà, je recherche de l'aide sur votre forum car lorsque j'ai voulu revenir vers la personne qui m'a gentillement prêté attention je ne pouvai plus y accèder hors peut-être que je n'ai pas été prise au sérieux n'ayant plus de connexion et pas d'autre pc je n'ai pas pu les tenir informé pendant 1bonne semaine.. en bref je ne suis pas une pro de l'informatique mais je sais que j'ai tout intérêt à résoudre ce problême avant qu'il n'empire donc si quelqu'un peut m'aider je vous en serai vraiment très reconnaissante.Merci d'avance
RE: je dois peut-ètre ajouter j'ai reçu des message via msn de la part de mes amis qui n'étaient pas connectés me proposant d'accepter de partager des fichiers hors je n'ai pas accepté mais je ne suis pas seule à utiliser mon pc et mon ami a déjà accepté ce message mais n'a rien reçu comme fichier..
Configuration: Windows XP
Internet Explorer 6.0

81 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Une suspicion d'infections détectées par Spybot, alors que Avira et WinPatrol ne trouvent rien, s'accompagne de modifications du registre et de publicités intempestives récurrentes affichées sur le système. Plusieurs échanges montrent que des mesures ont été suivies, notamment désactiver la restauration système, refaire un scan en ligne et nettoyer les cookies et éléments suspects. D'autres recommandations orientent vers des outils de suppression heuristique et vers des procédures en mode sans échec pour obtenir des rapports propres et évaluer les programmes potentiellement indésirables. Les échanges mentionnent finalement des rapports de balayage affichant zéro virus détecté après nettoyage, et la discussion souligne l'intérêt de maintenir des scans réguliers et la rotation des outils antivirus pour éviter les récidives.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moK´s@ Messages postés 4410 Statut Membre 89
     
    salut sicat,

    ca parait desastreux vu comme ca...

    Fais un clic droit sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    puis

    Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

    et

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    hijack this :

    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    @+

    bon courrage
    0
  2. sicat Messages postés 55 Statut Membre
     
    merci pour ton aide donc je te poste le repport avec navilogue parcontre lors de la recherche du coup je n'ai pas arrêté d'avoir des messages signalant code heurt crypted de la part de mon antivirus avira mais je les ai tous ignoré pour suivre uniquement tes consignes tes consignes..
    voici le premier rapport en espèrant que ce ne soit pas si désatreux..
    Search Navipromo version 2.0.5 commencé le 21/07/2007 à 16:23:29,73

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\PackardBell\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    Fichier(s) caché(s) dans C:\WINDOWS\system32 :

    Processus caché(s) dans C:\WINDOWS\system32 :

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !
    HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
    **
    C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
    ***
    ****
    C:\WINDOWS\system32\lxxdtgxxd_navps.dat trouvé !
    *****
    ******
    *******
    ********

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    *** Analyse Terminé le 21/07/2007 à 16:26:42,28 ***
    0
  3. sicat Messages postés 55 Statut Membre
     
    je te poste ici le rapport fix
    MSN_Fix 1.337

    C:\Documents and Settings\PackardBell\Bureau\MSNFix\MSNFix
    Fix exécuté le 21/07/2007 - 16:36:08,50 By PackardBell
    mode normal

    ************************ Recherche les fichiers présents

    ... C:\WINDOWS\_default.pif

    ************************ Recherche les dossiers présents

    Aucun dossier trouvé

    ************************ Suppression des fichiers

    .. OK ... C:\WINDOWS\_default.pif

    ************************ Nettoyage du registre

    ************************ Fichiers suspects

    /!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 21072007_16372290.zip

    Info ... Info .... Info .... Info .... Info .... Info

    Le groupe "Casahack Security Team" propose une copie de MSNFix sous le nom de MSN_reg
    Ce groupe n'est et n'a jamais été associé à MSNFix
    l'outil diffusé sous l appellation MSN_reg par Net-Viper n est qu'une copie de MSNFix
    Alerte diffusée le 14 juillet http://sosvirus.changelog.fr/Alerte_copieur.html

    MSNFix ne dispose d'auncun site de téléchargement miroir
    Seule la version téléchargée à partir de changelog.fr peut être estampillée officielle.

    Info ... Info .... Info .... Info .... Info .... Info

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.aceboard.fr/
    ------------------------------------------------------------------------
    Commande ECHO d‚sactiv‚e.
    --------------------------------------------- END ---------------------------------------------
    0
  4. moK´s@ Messages postés 4410 Statut Membre 89
     
    re,

    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    post le rapport

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sicat Messages postés 55 Statut Membre
     
    re,
    voici le rapport de nettoyage navilog
    Clean Navipromo version 2.0.5 commencé le 21/07/2007 à 16:57:49,84

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

    Mode suppression automatique avec prise en charge résultats Blacklight

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Suppression dossiers dans C:\Documents and Settings\PackardBell\Application Data ***

    *** Suppression fichiers ***

    C:\WINDOWS\pack.epk supprimé !
    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\PackardBell\Local Settings\Temp effectué !

    *** Sauvegarde du registre vers dossier Backupnavi***

    sauvegarde du registre réalise avec succes !

    *** Nettoyage registre ***

    Nettoyage registre Ok

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche et Suppression Heuristique :

    *
    C:\WINDOWS\System32\lxxdtgxxd.dat trouvé !
    Copie C:\WINDOWS\system32\lxxdtgxxd.dat réalise avec succes !
    C:\WINDOWS\system32\lxxdtgxxd.dat supprimé !

    **
    ***
    ****
    C:\WINDOWS\System32\lxxdtgxxd_navps.dat trouvé !
    Copie C:\WINDOWS\system32\lxxdtgxxd_navps.dat réalise avec succes !
    C:\WINDOWS\system32\lxxdtgxxd_navps.dat supprimé !

    *****
    C:\WINDOWS\System32\lxxdtgxxd_nav.dat trouvé !
    Copie C:\WINDOWS\system32\lxxdtgxxd_nav.dat réalise avec succes !
    C:\WINDOWS\system32\lxxdtgxxd_nav.dat supprimé !

    ******
    *******
    ********

    3)Contrôle présence clés Rootkit dans le registre :

    Aucune autre clés présente dans le registre !

    4)Certificats :

    Certificat Egroup supprimé !

    *** Nettoyage termine le 21/07/2007 à 17:03:27,42 ***

    Sinon même probleme avec mon antivirus lors du nettoyage et j'ai continué de l'ignoré..
    J'ai posté le rapport msn fix que tu m'as demandé de faire et ensuite avant de t'envoyer ce 2eme rapport navilog j'ai tenté de suivre ta procédure concernant SDFix mais je n'arriv pas à redémarrer en mode sans échec lorsque je presse f8 comme tu me l'a demandé il me propose de redémarrer sur mon disque dur ou sur mon lecteur cd j'avais déjà réussi à le redémarrer en mode ss echec manuellement mais je ne me souviens plus de la procédure si tu peux m'aider aussi là dessus..Merci..
    autre chose est-ce mon antivirus était corrompu car il n'apparait plus je me demande s'il a été nettoyé du coup..
    0
  7. moK´s@ Messages postés 4410 Statut Membre 89
     
    re,

    ok c´est bon pour navilog get msn fix...

    pour le mode sans echec :

    http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

    note bien comment ca se déroule car sinon tu auras des problemes pour revenir en mode normal

    @+
    0
  8. sicat Messages postés 55 Statut Membre
     
    voici le rapport SDFix
    SDFix: Version 1.92

    Run by PackardBell on 21/07/2007 at 17:28

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\PACKAR~1\Bureau\DOSSIE~1\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    No Trojan Files Found

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    Remaining Files:
    ---------------

    Files with Hidden Attributes:

    C:\Program Files\BillP Studios\WinPatrol\_Setup.dll
    C:\Program Files\BillP Studios\WinPatrol\Setup.exe

    Finished
    parcontre j'ai une alerte de winpatrol comme quoi scotty a détecté une modification dans le fichier HOSTS emplacement win\syst32\drivers\etc\hosts et me propose de l'accepter ou de la refuser je peux également désactiver la surveillance de ce fichier je ne sais pas trop quoi faire si tu peux me conseiller..
    Merci
    0
  9. moK´s@ Messages postés 4410 Statut Membre 89
     
    re,

    fais ceci :

    ¤ Télécharge Clean
    ----> http://www.malekal.com/download/clean.zip

    Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
    Un rapport va s'ouvrir, copie et colle le contenu ici
    0
  10. sicat Messages postés 55 Statut Membre
     
    enfait pour winpatrol j'ai accepté la modification jespère avoir birn fait j'ai consulté l'ancien fichier qui regroupait enormément d'adresses ip de différentes très mauvaises adresses et le nouveau fichiers qui ne signalait qu'une adresse ip appelée localhost
    0
  11. moK´s@ Messages postés 4410 Statut Membre 89
     
    oui tu as bien fais je pense que c´est lié au passge de navilog...

    passe clean
    0
  12. sicat Messages postés 55 Statut Membre
     
    ok merci je te poste ici le rapport Hijaxkthis et je m'occup de clean parcontre mon antivirus continue dès que je fais des scans et les pub securité reviennent enfin c normal je pense étant donné qu'on a pas terminé..
    voilà le rapport
    Logfile of HijackThis v1.99.1
    Scan saved at 18:11:41, on 21/07/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\WINDOWS\System32\HPZipm12.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
    C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
    O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
    O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
    O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  13. sicat Messages postés 55 Statut Membre
     
    voici pour le rapport de clean c tout ce que j'ai..
    21/07/2007 a 18:18:22,89

    *** Recherche des fichiers dans C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32

    *** Recherche des fichiers dans C:\Program Files
    *** Fin du rapport !
    0
  14. moK´s@ Messages postés 4410 Statut Membre 89
     
    ok j´attends clean

    apres on fera autre chose..
    0
  15. sicat Messages postés 55 Statut Membre
     
    j'ai un message de mon antivirus disant c:\progfiles\...\hijackthis vf.exe the heuristic detected a suspicious file (PCK/Dumped) soit il détecte un virus dans hijackthis et c'est arrivé tout à l'heure lors du scan hijack je l'ignore mais je me demande si j'ai pas tout intérêt à virer mon antivirus qui m'a l'air d'être sous mauvais contrôle il se manifeste uniquement lors des scans comme s'ils le dérangeaient alors qu'il ne bouge pas autrement de plus mon icone avais disparu tout à l'heure et a réapparu au dernier redémarrage..??
    0
  16. moK´s@ Messages postés 4410 Statut Membre 89
     
    re,

    c´est antivir c´est ca?

    ignore le pour le moment...

    fais ceci :

    Télécharge LopxpMH sur ton Bureau.

    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

    Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

    Poste le contenu du rapport qui va s'ouvrir.

    @+
    0
  17. sicat Messages postés 55 Statut Membre
     
    mon antivirus c'est avira antivir
    voici le rapport LopxpMH
    Rapport lopxpMH2 version 2.0 fait à 18:40:10,07 le 21/07/2007
    C:\Documents and Settings\PackardBell

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\Administrateur\Application Data

    12/07/2007 14:36 <REP> .
    12/07/2007 14:36 <REP> ..
    12/07/2007 14:36 <REP> Microsoft
    12/07/2007 14:36 62 desktop.ini
    1 fichier(s) 62 octets
    3 Rép(s) 68 711 014 400 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

    12/07/2007 14:36 <REP> .
    12/07/2007 14:36 <REP> ..
    12/07/2007 14:36 <REP> Microsoft
    12/07/2007 14:38 2 128 656 IconCache.db
    1 fichier(s) 2 128 656 octets
    3 Rép(s) 68 711 010 304 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\All Users\Application Data

    12/07/2007 13:50 <REP> .
    12/07/2007 13:50 <REP> ..
    12/07/2007 21:02 <REP> AntiVir PersonalEdition Classic
    17/07/2007 18:06 <REP> Apple Computer
    12/07/2007 15:02 <REP> CyberLink
    12/07/2007 22:54 <REP> Google
    21/07/2007 14:10 <REP> HP
    12/07/2007 13:50 <REP> Microsoft
    12/07/2007 21:37 <REP> MSN6
    21/07/2007 14:04 <REP> Sonic
    13/07/2007 00:27 <REP> Spybot - Search & Destroy
    12/07/2007 21:19 305 addr_file.html
    12/07/2007 13:51 62 desktop.ini
    21/07/2007 13:51 1 088 hpzinstall.log
    3 fichier(s) 1 455 octets
    11 Rép(s) 68 711 010 304 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\Default User\Application Data

    12/07/2007 13:50 <REP> .
    12/07/2007 13:50 <REP> ..
    12/07/2007 13:50 <REP> Microsoft
    12/07/2007 13:51 62 desktop.ini
    1 fichier(s) 62 octets
    3 Rép(s) 68 711 010 304 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    12/07/2007 13:51 <REP> .
    12/07/2007 13:51 <REP> ..
    0 fichier(s) 0 octets
    2 Rép(s) 68 711 010 304 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\LocalService\Application Data

    12/07/2007 13:43 <REP> .
    12/07/2007 13:43 <REP> ..
    12/07/2007 13:43 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 68 711 010 304 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    12/07/2007 13:43 <REP> .
    12/07/2007 13:43 <REP> ..
    12/07/2007 13:43 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 68 711 010 304 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\NetworkService\Application Data

    12/07/2007 13:43 <REP> .
    12/07/2007 13:43 <REP> ..
    12/07/2007 13:43 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 68 711 010 304 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    12/07/2007 13:43 <REP> .
    12/07/2007 13:43 <REP> ..
    12/07/2007 13:43 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 68 711 006 208 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\PackardBell\Application Data

    12/07/2007 13:44 <REP> .
    12/07/2007 13:44 <REP> ..
    12/07/2007 20:34 <REP> Adobe
    12/07/2007 20:28 <REP> Ahead
    13/07/2007 13:54 <REP> CyberLink
    21/07/2007 14:11 <REP> HP
    12/07/2007 13:44 <REP> Identities
    12/07/2007 15:08 <REP> InterTrust
    12/07/2007 20:52 <REP> Macromedia
    12/07/2007 13:44 <REP> Microsoft
    12/07/2007 21:19 <REP> Mozilla
    12/07/2007 21:37 <REP> MSN6
    15/07/2007 16:50 <REP> WinPatrol
    12/07/2007 13:44 62 desktop.ini
    1 fichier(s) 62 octets
    13 Rép(s) 68 711 006 208 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Documents and Settings\PackardBell\Local Settings\Application Data

    12/07/2007 13:44 <REP> .
    12/07/2007 13:44 <REP> ..
    21/07/2007 14:10 <REP> ApplicationHistory
    12/07/2007 22:54 <REP> Google
    21/07/2007 14:11 <REP> HP
    13/07/2007 01:14 <REP> Identities
    21/07/2007 14:11 <REP> IsolatedStorage
    12/07/2007 13:44 <REP> Microsoft
    12/07/2007 21:19 <REP> Mozilla
    17/07/2007 18:07 <REP> OLYMPUS
    12/07/2007 20:22 77 312 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    21/07/2007 14:10 134 fusioncache.dat
    21/07/2007 13:50 17 032 GDIPFONTCACHEV1.DAT
    12/07/2007 13:48 3 712 656 IconCache.db
    4 fichier(s) 3 807 134 octets
    10 Rép(s) 68 711 006 208 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    12/07/2007 13:03 <REP> .
    12/07/2007 13:03 <REP> ..
    12/07/2007 13:03 <REP> Microsoft
    12/07/2007 13:03 62 desktop.ini
    1 fichier(s) 62 octets
    3 Rép(s) 68 711 006 208 octets libres
    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    12/07/2007 13:03 <REP> .
    12/07/2007 13:03 <REP> ..
    0 fichier(s) 0 octets
    2 Rép(s) 68 711 006 208 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C s'appelle SYSTEM
    Le numéro de série du volume est F495-07BC

    Répertoire de C:\Program Files

    21/07/2007 18:10 <REP> .
    21/07/2007 18:10 <REP> ..
    12/07/2007 15:08 <REP> Adobe
    12/07/2007 15:04 <REP> Ahead
    12/07/2007 14:49 <REP> Analog Devices
    20/07/2007 16:31 <REP> AntiVir PersonalEdition Classic
    12/07/2007 20:58 17 180 760 antivir_workstation_win7u_en_h.exe
    15/07/2007 16:50 <REP> BillP Studios
    12/07/2007 23:34 <REP> BitComet
    13/07/2007 02:16 <REP> CCleaner
    12/07/2007 12:57 <REP> ComPlus Applications
    12/07/2007 15:02 <REP> CyberLink
    12/07/2007 15:02 <REP> CyberLink DVD Solution
    12/07/2007 15:03 <REP> Fichiers communs
    21/07/2007 13:59 <REP> Hewlett-Packard
    21/07/2007 18:11 <REP> Hijackthis Version Française
    21/07/2007 13:59 <REP> HP
    21/07/2007 14:01 <REP> Internet Explorer
    12/07/2007 14:46 <REP> Messenger
    12/07/2007 13:01 <REP> microsoft frontpage
    12/07/2007 14:43 <REP> Movie Maker
    19/07/2007 15:22 <REP> Mozilla Firefox
    12/07/2007 12:57 <REP> MSN
    12/07/2007 12:57 <REP> MSN Gaming Zone
    12/07/2007 21:55 <REP> MSN Messenger
    17/07/2007 18:03 <REP> MSXML 4.0
    21/07/2007 17:03 <REP> Navilog1
    12/07/2007 14:43 <REP> NetMeeting
    17/07/2007 18:05 <REP> OLYMPUS
    12/07/2007 14:43 <REP> Outlook Express
    13/07/2007 13:54 <REP> Poker
    17/07/2007 18:06 <REP> QuickTime
    12/07/2007 20:42 <REP> SAGEM
    12/07/2007 20:41 <REP> Securitoo
    12/07/2007 13:00 <REP> Services en ligne
    13/07/2007 00:43 <REP> Spybot - Search & Destroy
    11/03/2004 13:27 40 960 Uninstall_CDS.exe
    21/07/2007 17:41 <REP> Wanadoo
    12/07/2007 15:04 <REP> Windows Media Player
    12/07/2007 12:57 <REP> Windows NT
    12/07/2007 13:01 <REP> xerox
    2 fichier(s) 17 221 720 octets
    39 Rép(s) 68 711 002 112 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\PACKARDBELL\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\2L44PSFG.DEFAULT\HOSTPERM.1

    ******************************************
    ## Registre

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  18. moK´s@ Messages postés 4410 Statut Membre 89
     
    re,

    avec hijack this coche ceci :

    O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

    quitte tes applications et navigateur et fix les lignes ci dessus.

    par panneau de configuration ajout et supression de programme supprime ceci :

    C:\Program Files\BitComet\tools\BitCometBHO

    puis :

    *Télécharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)

    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

    - Dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis clic en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs" et tu auras un message pour sauvegarder ta base de registre tu clic "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
    Les sauvegardes que tu aura faites, tu pourras les supprimer si ton ordinateur n'a plus de problémes.

    - Relance Ccleaner, vas dans l'onglet "nettoyeur" présent sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"

    Si tu as besoin d'aide avec Ccleaner, regarde ce tutoriel :
    https://kerio.probb.fr/

    dis moi quoi

    0
  19. sicat Messages postés 55 Statut Membre
     
    re,
    j'ai donc supprimé mon programme bitcomet et suivi tes consignes pour le fix hijackthis ainsi que pour ccleaner parcontre d'erreur est-ce que je dois "fusionner" les inscriptions dans le registre ou juste garder de côté les fichier enregistrés après réparation de ccleaner?
    et par rapport à titan poker je l'ai fixé est-ce qu'il est nécessaire que je le supprime aussi?
    sinon j'ai toujours les pubs alerte sécurité et le problème avec avira..
    0
  20. moK´s@ Messages postés 4410 Statut Membre 89
     
    re,

    oui supprime titan poker

    oui tu garde de coté les réparation de ccleaner si tu as des problemes dans ce cas tu les fusionne avec le registre

    * FAIS UN CLIC-DROIT sur le lien ci dessous

    http://metallica.geekstogo.com/EGDACCESS.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

    afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

    Sauvegarde dans le dossier créé (c:\BFU)

    * FAIS UN CLIC-DROIT sur le lien ci dessous

    http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

    afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

    Sauvegarde dans le dossier créé (c:\BFU)

    * télécharge Navipromo.zip (par lazzzy)

    http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
    et décompresse-le sur ton bureau

    * Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

    https://forum.pcastuces.com/default.asp#haut

    à la lettre C

    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.

    * lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
    * Sélectionne l'option "Recherche et suppression automatique". Patiente.
    S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
    Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    Clique exit pour fermer le programme BFU.
    Recommence encore une fois.

    * Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    * Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
    * Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    * Clique exit pour fermer le programme BFU.
    Recommence encore une fois

    * redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

    0
  21. sicat Messages postés 55 Statut Membre
     
    ok bon apparement ça ne veut rien savoir j'ai enregistré les 2liens avc mozilla car IE ne me laissai pas appliquer cette consigne et sinon impossible de telecharger Navipromo lorsque je clique dessus il ne veut pas m'afficher la page sois disant la page a été supprimée..
    0
  • 1
  • 2
  • 3
  • 4
  • 5