8wd56u.exe????

Bennyweb Messages postés 258 Statut Membre -
afideg Messages postés 10970 Statut Contributeur sécurité - 22 oct. 2007 à 11:41

Bonjojur à tous,
je viens de recevoir une attaque successives de 2 virus dont un a nécessité une réparation spéciale de kaspersky avec redémarrage du pc ! cela semble tourner mais

-présence d'un halo rose bas gauche de l'écran ( le e d'explorer en bas de page est rosé.)
- un processus dans le gestionnaire me semble suspect??? 8wd56u.exe
Quid?
Quelqu'un peut-il m'aider,
je joins Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 16:49:35, on 07/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\8wd56u.exe
C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\PhotoWise\quicklnk.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {520EEF75-40F4-4632-B552-CF6E815ED402} - C:\WINDOWS\system32\CDDBUISon.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {CC35F779-8787-4568-88AA-4A97B5BC7B50} - c:\windows\system32\mocogqip.dll
O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O4 - Startup: QuickLink.lnk = C:\Program Files\PhotoWise\quicklnk.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Update_0707_KB77012.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

Grand merci d'avance à tous!!!!
Benny

Afficher la suite

83 réponses

Réponse 41 / 83

Bennyweb Messages postés 258 Statut Membre 1

Hello,
puis-je nettoyer mon pc des différents outils téléchargés?
merci
Benny

Réponse 42 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir Benny,

A)- Oui, tu peux virer ces outils et leur quarantaine ( _OTMoveIt a déjà dû en supprimer):
HijackThis v1.99.1 ==> c'est devenu une vieille version.
VundoFix.exe
clean.zip
ComboFix.exe
VirtumundoBegone
SmitfraudFix.exe
The Avenger
OAD
DiagHelp.zip
- Regarde aussi dans "Panneau de configuration" > "Ajout/suppres. de programmes" s'il n'en reste pas.

B)- Supprime aussi ce logiciel (en gras) que tu as "hérité" lors de l'achat PC ==> via "Démarrer" > "Poste de travail" > C:\WINDOWS\system32\AppCert\

Pour la suite, il faut prendre ses précautions; à savoir:
Sauvegarde de toute la base de registre :
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case ( le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]. Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est sur le bureau.

•- Tu pourras ensuite supprimer toutes ces clés trouvées et qui le concerne :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls

•- Je n'oserais pas te faire supprimer celles-ci sans une nouvelle vérification d'appartenance à AppCert
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKEY_USERS\S-1-5-21-1004336348-1637723038-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll
HKEY_USERS\S-1-5-21-1004336348-1637723038-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
ATTENTION, ne virer que ce qui est en surbrillance !

Comment va le PC ?

S'il continue à bien tourner, fais ceci ( ça vaut ce que ça vaut, mais dans l'immédiat, ça peut être nécessaire).
Crèe un nouveau point de restauration comme ceci:
Procédure pour Windows XP.
Citation:
-Clic sur « Démarrer » > « Tous les programmes » > « Accessoires » > « Outils système » > « Restauration système » ; on obtient cette page
-Cocher le bouton ratio en face de « Créer un point de restauration » puis appuyer sur le bouton radio [Suivant] ; une nouvelle page s’affiche.
-Dans la lucarne texte de la description, entrer une description de la restauration (taper un descriptif caractéristique de ce point ; par exemple : « Dernière désinfection ») et clic sur « Créer ».
-Un descriptif s'affiche avec la date et l’heure de cette opération.
-Cliquer ensuite sur « démarrage », puis « annuler ».

Bonne continuation.
Al.

Réponse 43 / 83

Bennyweb Messages postés 258 Statut Membre 1

Bonjour Al.
pas eu le temps de faire ces manips!!!! Suis dans la mouissse!

Me suis pris
trojan downloader.win32.Agent.dng
fichier:c\windows\system32\Appcert\wnl32.dll

trojan.downloader.JS.Psyme.ls
Url:http66.79.163.61/autodetect.php?3

Kaspersky s'est déclenché et semble avoir bloqué Psyme ( disque jaune avec point exclamation)
Agent réparation impossible, action supprimer avec réparation spéciale windows "sera supprimé au redémarrage pc"
Le pc a redémarré mais est à présent hyper lent. Une dizainz de minutes pour ouvrir un programme!!!!
Mise à jour antivirus 1% sur la nuit!
Que faire??????

Merci d'avance!
Benny

Réponse 44 / 83

Bennyweb Messages postés 258 Statut Membre 1

Ah,
j'oubliais de dire que dans le gestionnaire de tâches UC utilisée toujours à 100%
Kaspersky antivirus toujours en analyse objets démarrage en une nuit!
Merci
Benny

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 45 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir Benny

Pas le temps pour le moment.
Mais commence par ceci :

A)- Supprime ce logiciel (en gras) que tu as "hérité" lors de l'achat PC ==> via "Démarrer" > "Poste de travail" > C:\WINDOWS\system32\AppCert\

Pour la suite, il faut prendre ses précautions; à savoir "Sauvegarde de toute la base de registre" comme ceci :
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case ( le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]. Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est sur le bureau.

•- Tu pourras ensuite supprimer toutes ces clés trouvées et qui le concerne :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls

•- Je n'oserais pas te faire supprimer celles-ci sans une nouvelle vérification d'appartenance à AppCert
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKEY_USERS\S-1-5-21-1004336348-1637723038-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll
HKEY_USERS\S-1-5-21-1004336348-1637723038-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
ATTENTION, ne virer que ce qui est en surbrillance !

Ensuite fais ces analyses :

A)- On doit vérifier s'il y a d'autres trojans & malwares.

1)- •- Télécharge « clean.zip »
< http://www.malekal.com/download/clean.zip >
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >

2)- Télécharge SDFix et enregistre-le sur ton bureau
: < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe >
Ne fonctionne qu'en mode sans échec!
•- (Double clique sur l'icône SDFix.exe > [Exécuter] > [Install] > clic-droit sur le dossier « SDFix », qui vient d'être créé dans le répertoire C:\ > et "créer un raccourci" que tu glisses sur le bureau ==> Tu obtiens ceci

3)- Redémarre en mode sans échec. http://cybersecurite.xooit.com/t88-Demarrer-en-Mode-sans-echec.htm
( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).

4)- Analyses

•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd » http://img525.imageshack.us/img525/6053/screenshot059mn7.png .
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport.

•- Clic droit > ouvrir le dossier "SDFix" apparu sur le bureau > double-clic sur "RunThis.bat" de SDFix
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer en mode normal
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

5) Rapports:
- Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
- Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt"

C)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.

Tu copies et colles ce rapport sur le forum

D) Fais ensuite un ScanOnline chez Bitdefender :
< http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)

* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

Aide MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ >
Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >

Bonne chance
Al.

Réponse 46 / 83

Bennyweb Messages postés 258 Statut Membre 1

Hello,
impossible supprimer appcert (dossier jaune) accès refusé pour wsil32.dll
par contre je ne vois plus dans ce dossier wnl32.dll

Pc hyper lent ( avg antspywtae ne analyse depuis 42 heures!!!!!
Mise a jour de kaspersky antivirus impossible car signature corrompue puis effectuée correctement ce matin 8h36.
Quelques minutes pour ouvrir une page, un fichier,....
Je désespère!!!!!
Merci encore de ton aide!
Benny

Réponse 47 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir Benny

Laisse tomber ceci :
«
- impossible supprimer appcert (dossier jaune)
- avg antspywtae ne analyse depuis 42 heures!!!!!
- Mise a jour de kaspersky antivirus impossible
»

Et tente d'avancer avec la procédure que je t'ai indiquée s'il te plaît.
Merci
Al.

Patience-Vigilance-Amour.

Réponse 48 / 83

Bennyweb Messages postés 258 Statut Membre 1

hello commencer par sauvegarde registre puis toute la suite?

ou par clean.zip?
merci
excuse-moi mais je préfère éviter de gaffer!
Benny

Réponse 49 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,

Oui, c'est cela : tout le poste # 46 y compris supprimer AppCert par la BDR ( puisque tu n'en a rien à faire, et puisque tu ne peux le supprimer dans son répertoire C:\WINDOWS\system32\).

Vas voir dans C:\WINDOWS\system\ si tu n'as pas ces deux fichiers " q123.vbs " et " sm.exe " . Si oui, supprime-les.
Je lis que cela proviendrait d'une faille Internet Explorer; or tu as le même que le mien "Internet Explorer v6.00 SP2" .
As-tu ton Windows mis à jour ? ( Je n'aime pas toutes ces mises à jour de Windows; et je ne trouve pas s'il y en a une propre qui convienne à corriger cette faille IE ).

Bonne chance.
Al.

Réponse 50 / 83

Bennyweb Messages postés 258 Statut Membre 1

hello,

Pour la suite, il faut prendre ses précautions; à savoir:
Sauvegarde de toute la base de registre :
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case ( le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]. Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est sur le bureau.
j'en suis là.
Comment fait-on pour supprimer les clés avant de paser aux analyses?
Merci!
Benny

Réponse 51 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,

J'ai ajouté ceci au post précédent : Vas voir dans C:\WINDOWS\system\ si tu n'as pas ces deux fichiers " q123.vbs " et " sm.exe " . Si oui, supprime-les.
Je lis que cela proviendrait d'une faille Internet Explorer; or tu as le même que le mien "Internet Explorer v6.00 SP2" .
As-tu ton Windows mis à jour ? ( Je n'aime pas toutes ces mises à jour de Windows; et je ne trouve pas s'il y en a une propre qui convienne à corriger cette faille IE ).

Pour ta question, c'est comme au post # 38 § B, tu lances une recherche dans la BdR sur base du mot AppCert, comme ceci :

Clic sur "Démarrer" > "Exécuter" > là, taper " regedit " dans la fenêtre, puis [OK]
Tu vois ceci < http://img234.imageshack.us/img234/3155/screenshot224se7.gif >

-Or, il nous faut retrouver AppCert .
Pour cela, clic sur "edition" puis "rechercher", comme ça http://img201.imageshack.us/img201/6589/screenshot225wh2.gif
Tu obtiens ceci http://img201.imageshack.us/img201/3293/screenshot226jb6.gif
Dans la fenêtre texte, tu colles AppCert, ainsi http://img396.imageshack.us/img396/5113/screenshot227hc4.gif ( avec le mot AppCert, bien sûr )

- Regarde bien que les trois cases "cles/valeurs/données" soient cochées.
Clic sur "suivant"
S'affiche alors des lignes de clés en surbrillance devant contenir le terme " AppCert "

Tu supprimes par "clic-droit > supprimer" les lignes sélectionnées qui sont en surbrillance.

•- •- Clic sur F3 pour lancer une nouvelle recherche, et supprime ce qui est en subrillance ( dans la colonne de gauche comme de droite )
Clic à nouveau sur F3 jusqu'à la fin de la recherche signalée par un message .

Al.

Réponse 52 / 83

Bennyweb Messages postés 258 Statut Membre 1

Hello afideg
tout effectué
Clés de registre via regedit
Une fois effectué avec redémarrage pc celui-ci s'est remis a fonctionner apparemment normalement.
Plusieurs alertes kaspersky durant combox j'ai autorisé les actions.
Voici les rapports.

1Clean

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 27/09/2007 a 13:26:05,64

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

2 Sdfix

SDFix: Version 1.107

Run by Administrateur on 27/09/2007 at 13:39

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

Files with Hidden Attributes:

Sun 22 Jul 2007 5,388,088 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Wed 13 Sep 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 14 Mar 2006 262,144 ...H. --- "C:\Program Files\Nero\Nero PhotoShow 4\data\DVDMPEG2Enc.dll"
Tue 14 Mar 2006 84,604 ...H. --- "C:\Program Files\Nero\Nero PhotoShow 4\data\movie_maker.exe"
Tue 14 Mar 2006 61,440 ...H. --- "C:\Program Files\Nero\Nero PhotoShow 4\data\NeASL.dll"
Tue 14 Mar 2006 95,892 ...H. --- "C:\Program Files\Nero\Nero PhotoShow 4\data\Nero PhotoShow Express.exe"

Finished!

3Combofix

ComboFix 07-09-21.2 - "Administrateur" 2007-09-27 14:07:00.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.507 [GMT 2:00]
* Created a new restore point
.
[color=red][b] Le Rootkit driver pe386 est présent... tentative de désinfection [/b][/color]
[color=red][b] Le Rootkit driver msguard est présent... tentative de désinfection [/b][/color]
[color=red][b] Le Rootkit driver lzx32 est présent... tentative de désinfection [/b][/color]
[color=red][b] Le Rootkit driver huy32 est présent... tentative de désinfection [/b][/color]
[color=red][b] Le Rootkit driver xpdt est présent... tentative de désinfection [/b][/color]
[color=red][b] Rootkit driver pe386 is still present. A rootkit scan is required [/b][/color]
[color=red][b] Rootkit driver msguard is still present. A rootkit scan is required [/b][/color]
[color=red][b] Rootkit driver lzx32 is still present. A rootkit scan is required [/b][/color]
[color=red][b] Rootkit driver huy32 is still present. A rootkit scan is required [/b][/color]
[color=red][b] Rootkit driver xpdt is still present. A rootkit scan is required [/b][/color]

Overlay aborted ... Please run ComboFix once more
((((((((((((((((((((((((( Files Created from 2007-08-27 to 2007-09-27 )))))))))))))))))))))))))))))))
.

2007-09-27 13:55 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-27 13:38 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-27 12:35 6,944 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-09-27 12:35 1,012,512 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-09-27 11:41 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-09-27 11:41 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-09-27 11:37 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files
2007-09-17 20:23 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-09-17 20:23 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-09-17 20:22 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-09-17 20:22 739,840 --a------ C:\WINDOWS\system32\DivX.dll
2007-09-16 10:40 7,168 -ra------ C:\WINDOWS\system32\48UMicro.dll
2007-09-16 10:40 45,056 -ra------ C:\WINDOWS\GetKey.dll
2007-09-16 10:40 167,936 -ra------ C:\WINDOWS\A4.dll
2007-09-15 09:12 32,768 --a------ C:\WINDOWS\system32\Remove4006.exe
2007-09-15 09:12 18,120 --a------ C:\WINDOWS\system32\drivers\TR12388.sys
2007-09-15 09:12 167,936 --------- C:\WINDOWS\Ausba4.dll
2007-09-14 17:34 <REP> d-------- C:\DOCUME~1\ADMINI~1\Contacts
2007-09-14 17:32 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-13 17:37 <REP> d-------- C:\Program Files\TechSmith
2007-09-13 17:37 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TechSmith
2007-09-12 01:14 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-09 14:01 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-09 14:01 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-09 14:01 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-09 14:01 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-09 14:01 2,314 --a------ C:\WINDOWS\system32\tmp.reg

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-27 14:32 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab
2007-09-27 14:26 1700 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-09-27 14:26 14420 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-09-27 12:10 --------- d-------- C:\Program Files\Kaspersky Lab
2007-09-27 11:39 77703 --a------ C:\WINDOWS\system32\drivers\klif.cab
2007-09-22 10:54 --------- d-------- C:\Program Files\eMule
2007-09-22 07:18 --------- d-------- C:\Program Files\DivX
2007-09-15 09:12 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-09-14 17:33 --------- d-------- C:\Program Files\MSN Messenger
2007-09-13 17:34 --------- d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-09-08 08:22 --------- d-------- C:\Program Files\Google
2007-09-02 12:31 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-08-31 21:50 --------- d-------- C:\Program Files\BoontyGames
2007-08-24 23:19 --------- d-------- C:\Program Files\QuickTime
2007-08-17 13:28 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Leadertech
2007-08-17 07:00 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Google
2007-08-16 00:33 43528 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-08-09 22:50 --------- d-------- C:\Program Files\MSXML 4.0
2007-08-07 17:42 --------- d-------- C:\Program Files\PhotoWise
2007-07-30 11:08 320 --a------ C:\syslfsi.exe
2007-07-30 00:39 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Samsung
2007-02-22 18:13 47360 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\pcouffin.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 04:04]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"CHotkey"="zHotkey.exe" [2003-07-29 18:06 C:\WINDOWS\zHotkey.exe]
"ShowWnd"="ShowWnd.exe" [2003-09-19 09:09 C:\WINDOWS\ShowWnd.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-26 16:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nero PhotoShow Media Manager"="C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe" [2006-05-10 21:52]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-19 07:35:40]
ScanPanel.lnk - C:\Program Files\Trust\Easy Webscan 19200\ScanPanel\ScnPanel.exe [2007-09-15 09:12:12]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^QuickLink.lnk]
path=C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\QuickLink.lnk
backup=C:\WINDOWS\pss\QuickLink.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^KODAK Software Updater.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\KODAK Software Updater.lnk
backup=C:\WINDOWS\pss\KODAK Software Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk
backup=C:\WINDOWS\pss\Logiciel Kodak EasyShare.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ScanPanel.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ScanPanel.lnk
backup=C:\WINDOWS\pss\ScanPanel.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Program Files\Picasa2\PicasaMediaDetector.exe

.
Contents of the 'Scheduled Tasks' folder
"2007-09-07 20:08:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-27 14:30:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-09-27 14:36:01 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-27 14:35
.
--- E O F ---

4 Bitdefender

Désolé Apparemment fausse manip. enregistré en html ( je pensais pourtant avoir bien changé en texte avant enregistrement). Il n'avait trouvé aucun virus mais je relance le scan malgré tout pour sauvegarder le rapport.

Remarque: Après le scan de bitdefender et mise à jour Kaspersky. Celui-c- s'est déclenché et à supprimé car réparation impossible Trojan-downloader win32.Agent.dng dans systeme volume restore (placé en sauvegarde apparemment)

J'ai découvert aussi que le gestionnaire des tâches ne s'ouvre plus à partir clic droit dans la barre. En passant par exécuter Taskmgr.exe, je reçois l'erreur suivante:

L'application ou la dll
c:\windows\system32\iphlpapi.dll n'est pas une image windows valide.

Merci d'avance pour ton aide!!!!

Benny

Réponse 53 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir Benny,

Je suis surpris, ton PC est à nouveau bien infecté.
Je me demande réellement si ton antivirus et ton pare-feu sont bien constamment activés.

Il faut impérativement que tu puisses exécuter ces trois applications sans t'arrêter ( et sans faire autre chose entretemps ). Ferme toutes les applications en cours

A)- Effectuer un eScan Antivirus Toolkit < https://www.malekal.com/tutorial-escan-antivirus-toolkit/ >

À exécuter en mode sans échec (< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > ) et restauration système désactivée (< http://www.libellules.ch/desactiver_restauration.php > afin de pouvoir effectuer un nettoyage complet.

Étape 1:

Télécharge eScan Antivirus Toolkit ici:

http://www.spywareinfo.dk/download/mwav.exe

Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:

Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau > puis [Exécuter]
Dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky)
< https://www.hiboox.com >
Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
< https://www.hiboox.com >

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier "Kaspersky" ; ensuite, double-clique sur le fichier kavupd.exe.
< https://www.hiboox.com >
Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:

•- Désactive la restauration système :
"Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK
Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie ou imprime donc la procédure suivante pour ne rien oublier .

•- Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier « mwavscan.com » situé dans le dossier C:\Kaspersky

2.) Double-clique sur « mwavscan.com » ; l'interface d'eScan va apparaître à l'écran.

3.) Coche les options comme indiquées sur cette page < https://www.malekal.com/fichiers/eScan/eScan3.png > ; c’est-à-dire:

- Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, (et non "Program Files").

6.) Puis en bas à droite, clic sur « Scan Clean » et laisse l’outil vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras « Scan Completed ». Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre « Virus Log Information » (la deuxième, au bas) dans le fichier texte, et sauvegarde-le sur le bureau ( pour le retrouver facilement – donne-lui un nom, par ex KAS -).

(eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum).

Ferme le programme.

Redémarre ton PC en mode Normal.

Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

B)- Tu peux aussi utiliser RAV ANTIVIRUS par Evosla à télécharger ici, et enregistre-le sur le bureau.
Branche tes disques amovibles (clef usb,stick mémoire,disque externe) si tu en as.
Décompresse-le (clic droit >> Extraire ici) et double-cliquer sur le fichier RAV.exe
Une fois RAV ANTIVIRUS lancé laisse le agir,il scanne automatiquement tous les lecteurs.
À propos du nettoyage en temps réel, quand le soft détecte un « autorun » sur un disk, il le supprime (sauf si vous utiliser un lecteur virtual comme virtual daemon).
Si un virus est trouvé,un log s'établira,sinon rien se passera et le soft affichera (Votre Ordinateur est Sain).
Retirez les disques amovibles et Redémarrez.
Poster un rapport ensuite.

c)- Termine par ceci:
-1°- Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :
-
-- Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau
-- Ne double-clic pas dessus !! ==> Fais un clic-droit sur le fichier et extraire tout .
-- Un nouveau dossier chercher va être créé DiagHelp
-- Ouvre-le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) http://img149.imageshack.us/img149/4927/screenshot173gl8.gif >
-Une fenêtre va s'ouvrir, choisis l'option 1
-
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
-
-ATTENTION : Pendant l'analyse, à la fin du rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas !
-
-- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.. Ce dernier se trouve sur C:\resultat.txt
-Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela :
--- Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout
--- A nouveau menu Edition / copier
--- Dans un nouveau message ici, faire un clic droit / coller
-Tuto : [ http://www.malekal.com/DiagHelp/DiagHelp.php ]

Courage.
Merci

Réponse 54 / 83

Bennyweb Messages postés 258 Statut Membre 1

Hello,

pfff la galère,
Est-ce que je peux éteindre le pc et faire tout cela demain calmement car là je suis out!!! et boulot tôt demain matin???
Merci Benny

Réponse 55 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,
Ne sais-tu pas le mettre en veille, plutôt que de l'éteindre ?
Je préfèrerais.
Supprime aussi C:\Program Files\BoontyGames
Bonne nuit
Al.

Réponse 56 / 83

Bennyweb Messages postés 258 Statut Membre 1

hello al,

Je pense avoir tout exécuté comme demandé. ( du moins je l'espère!) Voici les rapports:
1) Toolkit

File C:\Documents and Settings\Administrateur\Bureau\clean\clean\pskill.exe tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.
File C:\Documents and Settings\Administrateur\Bureau\clean.zip tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.
File C:\Documents and Settings\Administrateur\Favoris\aMéL!e\Skyblog de ninie-amelie [ ??? ¢?a????g ????¢????'? ?lsg ! ].url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrateur\Favoris\emeline\jeux\¤ Jeu d'élevage virtuel - Elevez un dragon comme Eragon - Jeu en ligne - jeu gratuit.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrateur\Favoris\emeline\skyblogs\Skyrock blog de cloclo2323 ¢ls¢ls2323.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrateur\Favoris\emeline\skyblogs\Skyrock blog de electric-gurl-x ?ö------» ?l?¢???¢-gù?l-? ?.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrateur\Favoris\emeline\skyblogs\Skyrock blog de miss-nessou91 C??? JS ??IMS.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrateur\Favoris\emeline\skyblogs\Skyrock blog de x-so-emma-x # X-sO-eMma-X.skaYy' #.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

2) apparemment ordinateur sain.

3) diag.

DiagHelp version v1.2 - http://www.malekal.com
excute le 28/09/2007 à 21:03:10,29

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->28/09/2007 21:03:06
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->28/09/2007 21:03:04
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->28/09/2007 21:02:19
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->28/09/2007 21:02:03
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->28/09/2007 20:59:28
C:\WINDOWS\prefetch\SLRUNDLL.EXE-0E863B15.pf -->28/09/2007 20:59:03
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->28/09/2007 20:59:01
C:\WINDOWS\prefetch\EHMSAS.EXE-181DA6C9.pf -->28/09/2007 20:58:32
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->28/09/2007 20:58:31
C:\WINDOWS\prefetch\ALG.EXE-0F138680.pf -->28/09/2007 20:57:47

C:\WINDOWS\System32\drivers\fidbox.dat -->28/09/2007 21:02:17
C:\WINDOWS\System32\drivers\fidbox2.dat -->28/09/2007 21:02:03
C:\WINDOWS\System32\drivers\fidbox2.idx -->28/09/2007 20:54:11
C:\WINDOWS\System32\drivers\fidbox.idx -->28/09/2007 20:54:11
C:\WINDOWS\System32\drivers\klif.sys -->27/09/2007 12:40:23
C:\WINDOWS\System32\drivers\klin.dat -->27/09/2007 12:40:08
C:\WINDOWS\System32\drivers\klick.dat -->27/09/2007 12:40:08

C:\WINDOWS\System32\wpa.dbl -->28/09/2007 17:07:21
C:\WINDOWS\System32\divxdec.ax -->18/09/2007 14:24:32
C:\WINDOWS\System32\divx_xx0c.dll -->17/09/2007 20:23:00
C:\WINDOWS\System32\divx_xx07.dll -->17/09/2007 20:23:00
C:\WINDOWS\System32\divx_xx11.dll -->17/09/2007 20:22:58
C:\WINDOWS\System32\DivX.dll -->17/09/2007 20:22:58
C:\WINDOWS\System32\FNTCACHE.DAT -->12/09/2007 06:20:32
C:\WINDOWS\System32\DivXCodecVersionChecker.exe -->12/09/2007 01:14:30
C:\WINDOWS\System32\Uninstall.ico -->09/09/2007 17:07:54
C:\WINDOWS\System32\pavas.ico -->09/09/2007 17:07:54
C:\WINDOWS\System32\Help.ico -->09/09/2007 17:07:54
C:\WINDOWS\System32\tmp.txt -->09/09/2007 14:04:59
C:\WINDOWS\System32\tmp.reg -->09/09/2007 14:04:59
C:\WINDOWS\System32\VCCLSID.exe -->06/09/2007 00:22:23
C:\WINDOWS\System32\MRT.exe -->05/09/2007 19:50:44
C:\WINDOWS\System32\dtu100.dll.manifest -->21/08/2007 02:26:52
C:\WINDOWS\System32\dtu100.dll -->21/08/2007 02:26:52
C:\WINDOWS\System32\dpl100.dll.manifest -->21/08/2007 02:26:52
C:\WINDOWS\System32\dpl100.dll -->21/08/2007 02:26:52
C:\WINDOWS\System32\dsm_fr.qm -->16/08/2007 00:33:18
C:\WINDOWS\System32\divxsm.tlb -->16/08/2007 00:33:18
C:\WINDOWS\System32\DivXsm.exe -->16/08/2007 00:33:18
C:\WINDOWS\System32\qt-dx331.dll -->16/08/2007 00:33:14
C:\WINDOWS\System32\PxWave.dll -->16/08/2007 00:33:12
C:\WINDOWS\System32\PxMas.dll -->16/08/2007 00:33:12

C:\WINDOWS\ModemLog_Smart Link 56K Voice Modem.txt -->28/09/2007 20:58:53
C:\WINDOWS\0.log -->28/09/2007 20:57:28
C:\WINDOWS\WindowsUpdate.log -->28/09/2007 20:56:23
C:\WINDOWS\wiadebug.log -->28/09/2007 20:56:23
C:\WINDOWS\wiaservc.log -->28/09/2007 20:56:19
C:\WINDOWS\ScnPanel.ini -->28/09/2007 20:56:15
C:\WINDOWS\bootstat.dat -->28/09/2007 20:56:01
C:\WINDOWS\SchedLgU.Txt -->28/09/2007 20:54:05
C:\WINDOWS\KB901017.log -->28/09/2007 19:53:13
C:\WINDOWS\KB873339.log -->28/09/2007 19:52:48
C:\WINDOWS\KB891781.log -->28/09/2007 19:52:37
C:\WINDOWS\KB901214.log -->28/09/2007 19:52:10
C:\WINDOWS\ntbtlog.txt -->28/09/2007 17:09:13
C:\WINDOWS\NeroDigital.ini -->23/09/2007 10:53:03
C:\WINDOWS\ModemLog_SAMSUNG Mobile USB Modem.txt -->16/09/2007 18:16:27

MD5 des fichiers sensibles
tcpip.sys 9f4b36614a0fc234525ba224957de55c
ndis.sys 558635d3af1c7546d26067d5d9b6959e
null.sys 73c1e1f395918bc2c6dd67af7591a3ad
svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 28C4-1161

Répertoire de C:\WINDOWS\system32

10/08/2004 13:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 48 038 744 064 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 28C4-1161

Répertoire de C:\WINDOWS\Downloaded Program Files

08/09/2007 08:21 <REP> .
08/09/2007 08:21 <REP> ..
24/08/2006 09:28 141 424 asinst.dll
22/08/2006 10:06 537 asinst.inf
07/12/2004 17:07 32 bdcore.dll
01/03/2005 15:08 118 784 bdupd.dll
04/09/2006 16:08 65 desktop.ini
16/05/2007 08:22 399 gp.inf
14/02/2007 18:44 378 ImageUploader4.inf
14/02/2007 18:44 2 557 752 ImageUploader4.ocx
01/03/2005 15:08 53 248 ipsupd.dll
09/03/2005 16:42 6 742 lang.ini
07/12/2004 17:07 32 libfn.dll
18/02/2005 17:22 126 live.ini
01/06/2006 03:57 1 331 oscan8.inf
01/06/2006 03:54 471 040 oscan8.ocx
31/05/2006 05:15 10 oscan81.ocx_x
09/03/2005 16:43 6 828 scanoptions.tsi
09/11/2006 15:36 5 019 swflash.inf
17 fichier(s) 3 363 747 octets

Total des fichiers listés :
17 fichier(s) 3 363 747 octets
2 Rép(s) 48 038 739 968 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-28 21:04:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
260 - zHotkey.exe
300 - avgas.exe
324 - avp.exe
344 - mssysmgr.exe
660 - guard.exe
680 - avp.exe
732 - ehRecvr.exe
780 - ehSched.exe
812 - csrss.exe
816 - HPZipm12.exe
860 - winlogon.exe
904 - services.exe
916 - lsass.exe
1084 - svchost.exe
1200 - svchost.exe
1272 - slserv.exe
1308 - svchost.exe
1428 - svchost.exe
1440 - svchost.exe
1872 - explorer.exe
2044 - ehtray.exe
2308 - dllhost.exe
2492 - alg.exe
3304 - slrundll.exe
4040 - cmd.exe

Total number of processes = 26
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F7A2E000 - \WINDOWS\system32\KDCOM.DLL
F793E000 - \WINDOWS\system32\BOOTVID.dll
F74DE000 - ACPI.sys
F7A30000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F74CD000 - pci.sys
F752E000 - isapnp.sys
F753E000 - ohci1394.sys
F754E000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F7AF6000 - pciide.sys
F77AE000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F755E000 - MountMgr.sys
F74AE000 - ftdisk.sys
F7A32000 - dmload.sys
F7488000 - dmio.sys
F77B6000 - PartMgr.sys
F756E000 - VolSnap.sys
F7470000 - atapi.sys
F757E000 - disk.sys
F758E000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7450000 - fltMgr.sys
F743E000 - sr.sys
F759E000 - PxHelp20.sys
F7427000 - KSecDD.sys
F739A000 - Ntfs.sys
F736D000 - NDIS.sys
F75AE000 - sisagp.sys
F7942000 - RecAgent.sys
F7352000 - Mup.sys
F7336000 - kl1.sys
F77BE000 - \WINDOWS\system32\drivers\TDI.SYS
F768E000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F690E000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
F68FA000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F76CE000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F7866000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F786E000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F7876000 - \SystemRoot\system32\DRIVERS\fdc.sys
F68B8000 - \SystemRoot\system32\DRIVERS\serial.sys
F6AB9000 - \SystemRoot\system32\DRIVERS\serenum.sys
F68A4000 - \SystemRoot\system32\DRIVERS\parport.sys
F76EE000 - \SystemRoot\system32\DRIVERS\nic1394.sys
F770E000 - \SystemRoot\system32\DRIVERS\imapi.sys
F771E000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F772E000 - \SystemRoot\system32\DRIVERS\redbook.sys
F6881000 - \SystemRoot\system32\DRIVERS\ks.sys
F681E000 - \SystemRoot\system32\DRIVERS\slntamr.sys
F79D2000 - \SystemRoot\system32\DRIVERS\SlWdmSup.sys
F62AB000 - \SystemRoot\system32\DRIVERS\Mtlmnt5.sys
F78B6000 - \SystemRoot\System32\Drivers\Modem.SYS
F6273000 - \SystemRoot\system32\drivers\stac97nh.sys
F622B000 - \SystemRoot\system32\drivers\stac97na.sys
F6207000 - \SystemRoot\system32\drivers\portcls.sys
F779E000 - \SystemRoot\system32\drivers\drmk.sys
F78BE000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F61E4000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F78C6000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F78CE000 - \SystemRoot\system32\DRIVERS\RTL8139.SYS
F78D6000 - \SystemRoot\system32\DRIVERS\klim5.sys
F7BE0000 - \SystemRoot\system32\DRIVERS\audstub.sys
F75EE000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F79F6000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F61CD000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F760E000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F762E000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F611C000 - \SystemRoot\system32\DRIVERS\psched.sys
F763E000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F78DE000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F78E6000 - \SystemRoot\system32\DRIVERS\raspti.sys
F6B6D000 - \SystemRoot\System32\Drivers\pcouffin.sys
F60EB000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F6B5D000 - \SystemRoot\system32\DRIVERS\termdd.sys
F7A80000 - \SystemRoot\system32\DRIVERS\swenum.sys
F60B7000 - \SystemRoot\system32\DRIVERS\update.sys
F7A0A000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F765E000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F77DE000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F778E000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F7AB4000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F62E6000 - \SystemRoot\system32\drivers\MODEMCSA.sys
F7ACE000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7BC7000 - \SystemRoot\System32\Drivers\Null.SYS
F7AD0000 - \SystemRoot\System32\Drivers\Beep.SYS
F7BCF000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F7896000 - \SystemRoot\System32\drivers\vga.sys
F7AD2000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7AD4000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F789E000 - \SystemRoot\System32\Drivers\Msfs.SYS
F78AE000 - \SystemRoot\System32\Drivers\Npfs.SYS
F606B000 - \SystemRoot\system32\DRIVERS\rasacd.sys
A9E82000 - \SystemRoot\system32\DRIVERS\ipsec.sys
A9E2A000 - \SystemRoot\system32\DRIVERS\tcpip.sys
A9E02000 - \SystemRoot\system32\DRIVERS\netbt.sys
A9DE0000 - \SystemRoot\System32\drivers\afd.sys
F761E000 - \SystemRoot\system32\DRIVERS\netbios.sys
A9D9E000 - \SystemRoot\system32\DRIVERS\rdbss.sys
A9CA1000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
A9C63000 - \??\C:\WINDOWS\system32\drivers\klif.sys
F76DE000 - \SystemRoot\System32\Drivers\Fips.SYS
A9B8E000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F773E000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F774E000 - \SystemRoot\system32\DRIVERS\arp1394.sys
A9AA9000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
F776E000 - \SystemRoot\System32\Drivers\Cdfs.SYS
A989B000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7AC0000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
A9FA2000 - \SystemRoot\System32\drivers\Dxapi.sys
A9FEA000 - \SystemRoot\System32\watchdog.sys
BF9C1000 - \SystemRoot\System32\drivers\dxg.sys
F7B5C000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D3000 - \SystemRoot\System32\ati2dvag.dll
BFA09000 - \SystemRoot\System32\ati2cqag.dll
BFA41000 - \SystemRoot\System32\ati3duag.dll
BFC0F000 - \SystemRoot\System32\ativvaxx.dll
A9ACF000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
A8936000 - \SystemRoot\system32\drivers\wdmaud.sys
F6B4D000 - \SystemRoot\system32\drivers\sysaudio.sys
A8634000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F7A48000 - \SystemRoot\System32\Drivers\ParVdm.SYS
A84F1000 - \SystemRoot\system32\DRIVERS\srv.sys
A8118000 - \SystemRoot\System32\Drivers\HTTP.sys
A7C91000 - \SystemRoot\system32\DRIVERS\Mtlstrm.sys
A7C79000 - \SystemRoot\system32\DRIVERS\Slnthal.sys
A7C27000 - \SystemRoot\system32\drivers\kmixer.sys
F7B13000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 127

Liste des programmes installes

Ad-Aware SE Personal
Adobe Flash Player 9 ActiveX
Adobe Photoshop CS
Adobe Reader 8.1.0 - Français
Adobe SVG Viewer 3.0
Adobe® Photoshop® Album Edition Découverte 3.2
Adobe® Photoshop® Album Edition Découverte 3.2
Apple Software Update
Archiveur WinRAR
AutoUpdate
AVG Anti-Spyware 7.5
Belgacom Web Install - Belgacom TV
BufferChm
CardRd81
CCleaner (remove only)
CCScore
CleanUp!
ConvertXtoDVD 2.1.4.162
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB890859
CR2
D2300_Help
DeviceManagementQFolder
Direct Show Ogg Vorbis Filter (remove only)
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
Désinstalleur
DVD Shrink 3.2
eMule
ESSBrwr
ESSCDBK
ESScore
ESSgui
ESShelp
ESSini
ESSPCD
ESSPDock
ESSSONIC
ESSTOOLS
essvatgt
essvcpt
Google Earth
Google Toolbar for Firefox
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HLPPDOCK
HP Imaging Device Functions 7.0
HP Photosmart and Deskjet 7.0 Software (fra)
HP Photosmart and Deskjet 7.0 Software (fra)
hph_readme
hph_software_req
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 2
Java(TM) SE Runtime Environment 6 Update 1
K-Lite Codec Pack 2.75 Full
Kaspersky Anti-Virus 7.0
Kaspersky Anti-Virus 7.0
Kaspersky Online Scanner
Kazaa Lite K++ v2.4.3
kgcbase
KSU
Lecteur Windows Media 10
LG GSM PC Components
LG USB Modem Driver
Logiciel Kodak EasyShare
Microsoft .NET Framework 1.0 Hotfix (KB930494)
Microsoft Office Professional Edition 2003
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB930916)
MP3 Player Utilities 1.47
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
Multimedia Keyboard Driver
Nero 6 Ultra Edition
Nero PhotoShow Express 4
NeroVision Express 3
NeroVision Express Content
Notifier
OfotoXMI
OpenMG AAC Add-on Module 1.0.00
OpenMG AAC Add-on Module 1.0.00
OpenMG Limited Patch 4.5-06-05-12-01
OpenMG Secure Module 4.5.01
OpenMG Secure Module 4.5.01
OTtBP
OTtBPSDK
Panda ActiveScan
PDFCreator
PhotoWise 1.7
Picasa 2
QuickTime
SAMSUNG CDMA Modem Driver Set
SAMSUNG Mobile USB Modem ^^
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio
Samsung PC Studio
Samsung PC Studio 3 USB Driver Installer
SFR
SHASTA
SigmaTel C-Major Audio
SKIN0001
SKINXSDK
SnagIt 8
Spybot - Search & Destroy 1.4
staticcr
Terragen
Toolbox
TRUST EASY WEBSCAN 19200
VPRINTOL
VSO CopyToDVD 4
WebFldrs XP
WebReg
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Format Runtime
WinZip
WIRELESS

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 28C4-1161

Répertoire de C:\Program Files

27/09/2007 22:45 <REP> .
27/09/2007 22:45 <REP> ..
13/03/2007 17:51 <REP> Ad-aware
20/06/2007 20:29 <REP> Adobe
05/09/2006 19:25 <REP> Ahead
09/03/2007 23:09 <REP> Apple Software Update
13/03/2007 17:53 <REP> CCleaner
28/11/2006 19:18 <REP> CleanUp!
01/01/2007 21:24 <REP> Common Files
04/09/2006 16:05 <REP> ComPlus Applications
02/11/2006 18:35 <REP> Corel
14/06/2007 18:37 <REP> Dictionnaire
22/09/2007 07:18 <REP> DivX
15/10/2006 11:55 <REP> DVD Shrink
22/09/2007 10:54 <REP> eMule
16/02/2007 19:07 <REP> Fichiers communs
08/09/2007 08:22 <REP> Google
07/08/2007 22:18 <REP> Grisoft
25/01/2007 19:54 <REP> HP
08/09/2007 08:22 <REP> Internet Explorer
01/08/2007 14:09 <REP> Java
27/09/2007 12:10 <REP> Kaspersky Lab
27/09/2006 16:23 <REP> Kazaa Lite K++
05/09/2006 11:23 <REP> K-Lite Codec Pack
12/11/2006 09:52 <REP> Kodak
13/03/2007 17:50 <REP> Lavasoft
16/11/2006 17:45 <REP> LG Electronics
16/11/2006 17:44 <REP> LGGSM
16/09/2007 07:54 <REP> Messenger
01/01/2007 22:15 <REP> Microsoft ActiveSync
04/09/2006 16:11 <REP> microsoft frontpage
05/09/2006 11:01 <REP> Microsoft Office
05/09/2006 11:02 <REP> Microsoft.NET
04/09/2006 16:07 <REP> Movie Maker
06/06/2007 21:11 <REP> Mozilla Firefox
01/11/2006 12:20 <REP> MP3 Player Utilities 1.47
04/09/2006 16:02 <REP> MSN
04/09/2006 16:03 <REP> MSN Gaming Zone
14/09/2007 17:33 <REP> MSN Messenger
09/08/2007 22:50 <REP> MSXML 4.0
09/09/2006 11:57 <REP> Multimedia Keyboard Driver
28/10/2006 16:16 <REP> Nero
04/09/2006 16:07 <REP> NetMeeting
04/09/2006 16:05 <REP> Online Services
04/09/2006 16:07 <REP> Outlook Express
20/09/2006 07:58 <REP> PDFCreator
07/08/2007 17:42 <REP> PhotoWise
23/07/2007 09:23 <REP> Picasa2
24/08/2007 23:19 <REP> QuickTime
26/07/2007 18:44 <REP> Samsung
04/09/2006 16:08 <REP> Services en ligne
09/09/2006 22:50 <REP> Sony
05/09/2006 18:12 <REP> Sony Corporation
08/09/2007 08:22 <REP> Spybot - Search & Destroy
16/02/2007 19:07 <REP> Support.com
13/09/2007 17:37 <REP> TechSmith
04/01/2007 22:28 <REP> Terragen
07/03/2007 17:47 <REP> Trust
22/02/2007 18:13 <REP> vso
08/09/2007 08:22 <REP> Windows Media Player
04/09/2006 16:03 <REP> Windows NT
04/09/2006 16:04 <REP> Windows Plus
25/08/2007 18:49 <REP> WinRAR
25/08/2007 18:49 <REP> WinZip
04/09/2006 16:11 <REP> xerox
0 fichier(s) 0 octets
65 Rép(s) 48 037 847 040 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 28C4-1161

Répertoire de C:\Program Files\fichiers communs

16/02/2007 19:07 <REP> .
16/02/2007 19:07 <REP> ..
19/09/2006 07:35 <REP> Adobe
19/09/2006 07:36 <REP> Adobe Systems Shared
05/09/2006 10:57 <REP> Ahead
26/11/2006 13:25 <REP> BOONTY Shared
05/09/2006 11:01 <REP> DESIGNER
01/02/2007 00:31 <REP> EPSON
05/09/2006 18:11 <REP> InstallShield
05/09/2006 11:18 <REP> Java
12/11/2006 09:50 <REP> Kodak
09/09/2006 16:07 <REP> Microsoft Shared
04/09/2006 16:07 <REP> MSSoap
04/09/2006 17:58 <REP> ODBC
04/09/2006 16:07 <REP> Services
28/10/2006 16:16 <REP> Simple Star Shared
05/09/2006 18:12 <REP> Sony Shared
04/09/2006 17:58 <REP> SpeechEngines
05/09/2006 11:01 <REP> System
13/09/2007 17:34 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
20 Rép(s) 48 037 847 040 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 28C4-1161

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

25/08/2007 18:15 <REP> .
25/08/2007 18:15 <REP> ..
05/09/2006 11:01 <REP> 1033
25/08/2007 18:15 <REP> 1036
11/07/2003 10:15 1 292 872 MSONSEXT.DLL
15/07/2003 06:52 35 896 MSOSV.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
11/07/2003 02:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 48 037 847 040 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 28C4-1161

Répertoire de C:\Program Files\common files

01/01/2007 21:24 <REP> .
01/01/2007 21:24 <REP> ..
01/01/2007 21:24 <REP> Microsoft Shared
0 fichier(s) 0 octets
3 Rép(s) 48 037 847 040 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 28C4-1161

Répertoire de C:\

30/07/2007 11:08 320 syslfsi.exe
1 fichier(s) 320 octets
0 Rép(s) 48 037 847 040 octets libres

c:\Documents and Settings\Administrateur\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{5BBFB0E4-2250-49C3-A8A3-65BE2197D13B}\_15a15422.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{5BBFB0E4-2250-49C3-A8A3-65BE2197D13B}\_42307eb7.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{5BBFB0E4-2250-49C3-A8A3-65BE2197D13B}\_60322c3b.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{CCEB53A5-A252-4CF3-8602-429AB06BF0AE}\_18be6784.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{CCEB53A5-A252-4CF3-8602-429AB06BF0AE}\_294823.exe
c:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
c:\Documents and Settings\Administrateur\Bureau\mwav.exe
c:\Documents and Settings\Administrateur\Bureau\SDFix.exe
c:\Documents and Settings\Administrateur\Bureau\clean\clean\pskill.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Administrateur\Bureau\Raccourcis Bureau non utilisés\Campath.exe
c:\Documents and Settings\Administrateur\Bureau\Raccourcis Bureau non utilisés\tconv.exe
c:\Documents and Settings\Administrateur\Bureau\Raccourcis Bureau non utilisés\VundoFix.exe
c:\Documents and Settings\Administrateur\Bureau\rav\rav.exe
c:\Documents and Settings\Administrateur\Mes documents\amélie\divers\prog école\Campath.exe
c:\Documents and Settings\Administrateur\Mes documents\amélie\divers\prog école\CarryItEasy.exe
c:\Documents and Settings\Administrateur\Mes documents\amélie\divers\prog école\tconv.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\12388_04.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\aawsepersonal.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\avgas-setup-7.5.0.50.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\avgas-setup-7.5.1.43.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\btvF.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\ccsetup138.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\copytodvd4_setup.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\driver_only_webpack_fra.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\GoogleEarthWin.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\iftppublish.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\KasperskyPersonal_50388_fr.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\luxoramun.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\mpweb21.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\OOo_2.2.0_Win32Intel_install_fr.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\rollerrush.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\Setup_SnagIt_EVALUATION_FRA.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\stich.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\wl-ALC650-510004010_xp.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\snagit\keygen.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\snagit\SnagIt v8.2.1 Setup.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\conserver\snagit\snagit.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\graver\crabbyadventure.exe
c:\Documents and Settings\Administrateur\Mes documents\téléchargements\graver\kav700124fr.exe
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.0.124\French\setup.exe
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\$SETUP_140007_d77b54\Setup.exe
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\$SETUP_1e0010_14c75\Setup.exe
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\bonjour\BonjourSetup.exe
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\CCS\CCSStop.exe
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\ESS\bindbins\bindbins.exe
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\KDEVICES\CR2\cr_stop.exe
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\Ksu\ksustop.exe
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\QUICK\QuickTimeInstaller.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\e3caiory.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
c:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\e3caiory.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
c:\Documents and Settings\Administrateur\Local Settings\Application Data\TechSmith\SnagIt\Accessories\{18AA4E21-D540-4a3a-9F9F-E6DE33D6F253}\MSExcel.dll
c:\Documents and Settings\Administrateur\Local Settings\Application Data\TechSmith\SnagIt\Accessories\{23102CBF-AC8D-4424-9364-A79738894850}\MSWord.dll
c:\Documents and Settings\Administrateur\Local Settings\Application Data\TechSmith\SnagIt\Accessories\{638B203F-8FB6-49ec-A139-AB8C530F0CAB}\MSPowerPoint.dll
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\$SETUP_140007_d77b54\EasyShrx.Dll
c:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\$SETUP_1e0010_14c75\EasyShrx.Dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

****** Fin du rapport DiagHelp

Merci d'avance!
Benny!

Réponse 57 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir Benny,

C'est bon signe;
Mais attention à ces deux éléments :
1)- Java(TM) SE Runtime Environment 6 Update 1 ==> à supprimer! Ne garde que l'Update2.
2)- CleanUp! ==> dangereux à l'emploi !!
Lis ceci : « Avec son doux bruit délicat de chasse d'eau il a emporté avec lui ton thème XP, ainsi que d'autres bricoles, comme par exemple ntosknl.exe sans qui le pc ne peut pas redémarrer. Même si ça fait plus d'un an que Cleanup est connu pour gicler le thème XP entre autres malgré les nouvelles versions qui se sont succédées...
» (Merci moe)
Vire Cleanup Benny ....

Termine par cette analyse, SVP :
Clique sur ce lien :
< http://perso.orange.fr/il.mafioso/Navifix/Pr%E9sentation%20navilog1.html >
Clique sur Navilog1.exe = < http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
et enregistre-le sur ton bureau.

Ensuite double clique sur l’icône "Navilog1.exe " pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).

Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Bonne soirée
Merci
Al.

Réponse 58 / 83

Bennyweb Messages postés 258 Statut Membre 1

hello Al,
premiers points:

1)- Java(TM) SE Runtime Environment 6 Update 1 ==> à supprimer! Ne garde que l'Update2.
2)- CleanUp! ==> dangereux à l'emploi !!
supprimés.

rapport lavilog:

Search Navipromo version 3.1.2 commencé le 28/09/2007 à 21:55:50,56

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 27.09.2007 a 18h00 by IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/28/07 at 21:55:54.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .......................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/28/07 at 23:03:30 (return code = 0).

*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\Documents and Settings\Administrateur\local settings\application data *

*** Recherche fichiers ***

*** Recherche cles registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 28/09/2007 à 23:04:22,64 ***

Merci d'avance!
Benny

Réponse 59 / 83

afideg Messages postés 10970 Statut Contributeur sécurité 602

Benny,
Désolé pour ce retard.
Je ne suis pas en bonne santé.

Je ne vois pas ce qui provoque régulièrement ces soucis avec ton PC.

Il reste encore des traces à éliminer.

A)- C:\Program Files\fichiers communs\BOONTY Shared <== le dossier.

B)- J2SE Runtime Environment 5.0 Update 6 comme tu as fait tout à l'heure via "Ajout/Suppres.de programmes".

C)- Il faut donc faire analyser ce fichier "syslfsi.exe" chez VirusTotal comme ceci :

1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant la ligne:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Vas là </souligne>:< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier syslfsi.exe
c'est-à-dire C:\ ( seulement dans C:\ )
•- quand tu as trouvé le premier fichier syslfsi.exe, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier syslfsi.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )

Merci pour ta collaboration

Je ne saurai pas aller plus avant dans ce topic.
Supprime les derniers outils utilisés.
Merci à toi

Bonne nuit
Al. (belge moi aussi)

Réponse 60 / 83

Bennyweb Messages postés 258 Statut Membre 1

Hello Al,
désolé pour ton état de santé et te souhaite de retrouver rapidement la forme!!!
Voici le rapport:

Fichier syslfsi.exe reçu le 2007.09.29 07:15:05 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 -
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 -
AVG 7.5.0.488 2007.09.28 -
BitDefender 7.2 2007.09.29 -
CAT-QuickHeal 9.00 2007.09.28 -
ClamAV 0.91.2 2007.09.29 -
DrWeb 4.33 2007.09.28 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.28 -
FileAdvisor 1 2007.09.29 -
Fortinet 3.11.0.0 2007.09.29 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.28 -
Ikarus T3.1.1.12 2007.09.29 -
Kaspersky 7.0.0.125 2007.09.29 -
McAfee 5130 2007.09.28 -
Microsoft 1.2803 2007.09.29 -
NOD32v2 2559 2007.09.29 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.28 -
Prevx1 V2 2007.09.29 -
Rising 19.42.50.00 2007.09.29 -
Sophos 4.21.0 2007.09.29 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.29 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.29 -
VirusBuster 4.3.26:9 2007.09.28 -
Webwasher-Gateway 6.0.1 2007.09.28 -
Information additionnelle
File size: 320 bytes
MD5: 8767666b774f2d3f49a4bb1c7361efc4
SHA1: 1be104833d397f3329fdd28a7ea2fcae474c1f0f

Merci d'avance!
Benny

8wd56u.exe????

83 réponses

Votre réponse

Newsletters