Virus bloquant entièrement le PC

Question

Bonjour,
Je suis venu poster ici car j'ai un léger ( non plutot lourd ) problème de virus :
Logon Screen, Erreur TrendMicro : "Le module TmProxy a rencontré une grave erreur. Veuillez essayer une nouvelle fois d'installer le programme. Si le problème persiste, veuillez contacter [...]. Erreur interne : [-14/PH1/ENG00000040]."
Après m'être loggé, je recois une erreur RUNDLL32.EXE : "The application  or DLL C:\WINDOWS\system32\NvMcTray.dll is not a valid Windows image. Please check this against your installation diskette."
Et encore une erreur RUNDLL : "Error loading C:\WINDOWS\system32\NvMcTray.dll - %1 is not a valid Win32 application."
Ensuite, pendant 1 minute tout fonctionne correctement, puis quand Windows a chargé tous les logiciels du Startup, plus rien ne fonctionne ! Aucune application ne peut être changée, la Taskbar et le menu Démarrer ne fonctionnent pas, j'ai seulement la souris qui peut bouger. Pour l'instant je suis en Safe Mode.
Je n'ai pas encore réinstallé TrendMicro comme conseillé dans l'erreur ni fait quoi que ce soit, je préfère d'abord lire votre avis avant de me lancer dans des scans et manipulations dangereuse :p .
Guidez-moi vers le droit chemin ! Permettez-moi de détruire cette saleté de virus !

malo · Answer

je ne suis pas informatitien mais j 'ai eu un message d erreurs, voila ce que j'aifait
demarer
executer
dans ouvrir taper   msconfig
ok
regarder dans les differents system ini wwini demarage service si le nom de ton erreur y figure si c 'est le cas decoche la case
attention a decocher la bonne c est sans doute dans demarage
si cela ne marche pas , je n ai pas d autre solutions

kelsett · Answer

J'ai suivi ton conseil et j'ai reussi à localiser le virus et à l'empêcher de se lancer. Il était caché dans C:\WINDOWS\system32, en fait il y avait quatres fichiers. Un virus assez répendu d'après mes recherches. Je l'ai supprimé et pour l'instant ca à l'air de marcher, mais comment être sûr qu'il ne réapparaisse pas ? Le seul moyen de le localiser est HijackThis et ton astuce, parce qu'apparamment il change de nom chaque fois qu'il s'installe. HijackThis ne le retrouve pas pour l'instant mais quelque chose me dit que c'est pas possible d'enlever un virus aussi simplement. Il doit sûrement y avoir des clés du registre à supprimer, j'ai raison ou est-ce que demain il ne réapparaîtra pas ?

kris6943 · Answer

mets un log hijackthis tu trouveras un specialiste pour le debusquer

malo · Answer

En ce qui me concerne,le problème ne s'est pas reproduit, je pense donc qu'il faut attendre pour voir.bonne journée.

http://www.favorisxp.com/base-registre.html

kelsett · Answer

Comme je le craignais, le virus est revenu... et n'apparaît pas dans HijackThis !

############
LOG HIJACKTHIS
############

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:04:33, on 28/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Jonathan\Desktop\virus\aswclnr.exe
C:\Documents and Settings\Jonathan\Desktop\virus\aswclnr.tmp
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Skype] "C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\PROGRAM FILES\IGN\DOWNLOAD MANAGER\DLM.EXE /windowsstart /startifwork
O4 - HKCU\..\Run: [PlayNC Launcher] C:\PROGRAM FILES\NCSOFT\LAUNCHER\NCLauncher.exe /Minimized
O4 - HKCU\..\Run: [Change Ecran] C:\Program Files\Change Ecran\Change Ecran.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DAEMON Tools.lnk = C:\Program Files\D-Tools\daemon.exe
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - https://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - https://www.net2phone.com/ (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - 
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - https://www.fileplanet.com/
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Creative PD1170 RunApp Service (PD1170Srv) - Creative Technology Ltd. - C:\WINDOWS\system32\P1170Srv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

kelsett · Answer

J'ai fais plusieurs scans avec Navilog1, AVG Antispyware mais pour l'instant je ne trouve rien.
Voici mon rapport AntiVir : 


Report file date: mardi 28 août 2007  14:57


Jobname: 'Windows System Directory'

Scanning for 284303 virus strains and unwanted programs.

Licensed to:        AntiVir PersonalEdition Classic
Serialnumber:       0000149996-WURGE-0001
Platform:           Windows XP
Windowsversion:     (Service Pack 2)  [5.1.2600]
Username:           Jonathan
Computername:       PARIS

Versioninformations:
AVSCAN.EXE     : 7.0.0.19     524328    23/01/2006 14:35:48
AVSCAN.DLL     : 7.0.0.19     42536     23/01/2006 14:35:48
LUKE.DLL       : 7.0.0.19     114728    23/01/2006 14:35:48
LUKERES.DLL    : 7.0.0.19     27688     23/01/2006 14:35:48
ANTIVIR0.VDF   : 6.32.0.60    4323840   06/12/2005 09:47:34
ANTIVIR1.VDF   : 6.33.0.97    675328    18/01/2006 13:31:52
ANTIVIR2.VDF   : 6.33.0.131   122880    18/01/2006 13:31:52
ANTIVIR3.VDF   : 6.33.0.139   28160     18/01/2006 13:31:52
AVEWIN32.DLL   : 6.33.0.30    1016320   20/01/2006 10:42:50
AVPREF.DLL     : 6.34.0.0     38440     18/01/2006 11:06:02
AVREP.DLL      : 6.33.0.106   2301992   10/01/2006 09:10:46
AVPACK32.DLL   : 6.33.0.6     331816    09/01/2006 08:03:38
AVREG.DLL      : 6.31.0.90    27688     28/07/2005 09:06:36
NETNT.DLL      : 6.32.0.0     6696      27/09/2005 06:56:50
NETNW.DLL      : 6.32.0.0     9768      27/09/2005 06:56:50


Start of the scan: mardi 28 août 2007  14:57


Start scanning boot sectors:

Boot sector 'C:'
      [NOTE]      No virus was found!

Starting to scan the registry.

The registry was scanned ( 30 files ).


Starting the file scan:

C:\WINDOWS\system32\CatRoot2\edb.log
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\CatRoot2	mp.edb
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\default
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\default.LOG
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\SAM
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\software
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\software.LOG
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\system
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\system.LOG
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\drivers\dtscsi.sys
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\drivers\sptd3325.sys
      [WARNING]   The file could not be opened!


End of the scan: mardi 28 août 2007  15:00
Used time: 02:44 min

The scan has been done completely.

    286 Scanning directories
   6327 Files were scanned
      0 viruses and/or unwanted programs was found
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
     10 Archives were scanned
     30 Warnings
      0 Notes

Je continue de faire plusieurs scans avec Ewido, CCleaner, CleanUp!, Spybot - Search & Destroy et BitDefender Free Edition.

kris6943 · Answer

desinstalles par la voie normale le logiciel EoRezo si tu ne le trouves pas va dans C:\Program Files\eoRezo et recherche le fichier de desinstallation

plus d'info ici
http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/solution-definitive-debarrasser-sujet_10619_1.htm


avec hijackthis tu peux fixer ces deux lignes inutiles bien qu'elle soient clean (la preuve ici http://www.castlecops.com/O9.html elles sont legales }puisque{4B30061A-5B39-11D3-80F8-0090276F843F} est marquée d'un "L" )

 O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - https://www.net2phone.com/ (file missing)
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - https://www.net2phone.com/ (file missing)

kelsett · Answer

J'ai supprimé les deux lignes HijackThis. Par contre quand j'ai essayé de supprimer le dossier eoRezo je ne l'ai pas trouvé...

kris6943 · Answer

tant mieux si tu ne l'a pas trouvé mais c'était juste pour vérfier

donc tu peux fixer cette  ligne hijack

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll (file missing)

kelsett · Answer

C'est fait. Mais j'imgaine que c'était juste pour nettoyer un peu, ou est-ce que c'est censé supprimer le virus ?

kris6943 · Answer

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
 
fixes ces deus lignes egalement

desinstalles mywebsearch toolbar en allant ici et en cliquant sur Download MyWebSearch Removal Tool  

http://antispyware.com/glossary_details.php?ID=1272

kelsett · Answer

Fait. Jusqu'ici j'ai fais des scans avec tous (CCleaner, Ewido, AVG AntiSpyware, CleanUp!, Avast! Virus Cleaner Tool, Spybot - Search & Destroy, Navilog1, F-Secure BlackLight, et AntiVir) sans succès. Il me reste juste BitDefender Free avec lequel je n'ai pas fais de scan.
Quelqu'un a t'il une solution ? Ca doit bien être supprimable cette saleté. Je me demande si ce n'est pas un nouveau virus si aucun antivirus ne le trouve...

kris6943 · Answer

remets un log hijackthis stp

ton log précédent a été fait en mode sans echec. 
Pourquoi?

c'est ta seule facon possible pour demarrer?

kelsett · Answer

Voilà le log. Et oui le safe mode (sans echec) est mon seul moyen d'utiliser Windows... Par contre tout à l'heure quand j'ai essayé de lancer le MyWebSearch Removal Tool ca m'a dit 'The system administrator has set policies to prevent this installation' ; j'imagine que le logiciel ne doit pas être compatible WinXP ou le mode sans echec...

#########################
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04:37, on 28/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [wgvewhveox] c:\windows\system32\wgvewhveox.exe wgvewhveox
O4 - HKCU\..\Run: [Skype] "C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\PROGRAM FILES\IGN\DOWNLOAD MANAGER\DLM.EXE /windowsstart /startifwork
O4 - HKCU\..\Run: [PlayNC Launcher] C:\PROGRAM FILES\NCSOFT\LAUNCHER\NCLauncher.exe /Minimized
O4 - HKCU\..\Run: [Change Ecran] C:\Program Files\Change Ecran\Change Ecran.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DAEMON Tools.lnk = C:\Program Files\D-Tools\daemon.exe
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - 
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - https://www.fileplanet.com/
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Creative PD1170 RunApp Service (PD1170Srv) - Creative Technology Ltd. - C:\WINDOWS\system32\P1170Srv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

kris6943 · Answer

quand j'ai essayé de lancer le MyWebSearch Removal Tool ca m'a dit 'The system administrator has set policies to prevent this installation' ; j'imagine que le logiciel ne doit pas être compatible WinXP ou le mode sans echec...

non c'est parce que tu es en mode sans echec mais pas dans une session administrateur je suppose
essaye de changer de session et de choisir administrateur au lieu de cliquer sur ta propre session
puis relances l'installation de ce logiciel

kelsett · Answer

Le problème, c'est qu'il me demande un mot de passe... Je n'ai pourtant jamais mis de mdp pour un compte qui de plus n'existe pas en demarrage normal. Comment je fais pour y accéder ?

kris6943 · Answer

bonne question ... à laquelle je ne sais pas répondre

rechercher ce problème sur google  c'est tout ce que je peux te proposer... désolé

https://www.google.com/search?q=mode+administrateur+%22mot+de+passe%22&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&gws_rd=ssl

kelsett · Answer

J'ai cherche mais ca ne semble pas possible sans faire des manipulations longues ( creer des disques, disquettes booter dessus enfin un tas de trucs.).
Je pourrai le faire en bootant normalement puisqu'en general le virus ne se declenche que deux ou trois minutes apres logon. Ou est ce que ca peut faire progresser le virus ?

kris6943 · Answer

tente le coup ...
mais il n'y a pas que ce probleme là
la toolbar websearch est nefaste mais il y a autre chose de plus nefaste a mon avis

kelsett · Answer

J'ai reussi à installer AntiSpyware. Par contre j'ai réfléchi un peu et essayé quelque chose, j'explique:
depuis ce matin, j'ai une erreur Generic Host Process surlaquelle à chaque fois je cliquais sur Send Error Report ( Envoyer le rapport d'erreur). Et j'ai remarqué que tant que je ne clique sur aucun des choix proposés (Debug, Send Error Report, Don't Send) je n'ai pas de plantage de PC (seulement un leger ralentissement remarqué) ! Si mes souvenir sont bons, quand je cliquais sur Envoyer le rapport d'erreur, Windows me disait avoir trouvé le problème, qui était apparament un bug à cause de Windows Update. J'ai essayé de télécharger la mise à jour proposée mais son installation n'a rien changé.
Voici une screen de l'erreur, si ca peut aider : http://www.zone-webmasters.com/upload/001.png
Une idée ? Est-ce vraiment un virus ? Que dois-je faire ?

kris6943 · Answer

désactive le rapport d'erreur ça ne sert à rigoureusement rien

http://www.faqxp.com/f/150.asp

kelsett · Answer

Fait, mais n'y a t'il pas moyen de résoudre ce problème plutot que de forcer sur la désactivation du rapport ?

kris6943 · Answer

surement mais je ne suis pas suffisament compétent pour cela...

kelsett · Answer

Demande urgente ! offre d'emploi conseiller personnel de kris6943 ! :p
Non sérieusement j'aimerai bien que kris6943 ne soit pas le seul à essayer de m'aider dans mon problème... S'il vous plaît quelqu'un qui voit ce post  s'il est assez compétant pour m'aider qu'il réponde !

kelsett · Answer

Je ne comprend pas... quand j'essaye de lancer certaines applications on d'intaller ca plante avec un "The instruction at 'xxxxxxxxx' referenced memory at 'xxxxxxxxx'. The memory could not be 'read'."
Je commence à desesperer. Si personne ne trouve le moyen de réparer cette erreur je sens que je vais réinstaller Windows...
S'il vous plaît quelqu'un si vous avez la solution postez ici...

kris6943 · Answer

ton fichier verolé c'est celui là 
c:\windows\system32\wgvewhveox.exe 

ne le ssupprimes pas manuellement  mais
essaye avec navilog
--------------------------------------


Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

kelsett · Answer

T'es sûr qu'il existe ? J'ai été voir mais je n'ai pas trouvé de "wgvewhveox.exe" ...
Rapport Navilog :

Search Navipromo version 2.0.9 commencé le 29/08/2007 à  9:42:36,85
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Jonathan\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/29/07 at 09:42:40.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...............................................................................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/29/07 at 09:57:32 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 29/08/2007 à  9:58:28,87 ***

kelsett · Answer

Une idée ?

kris6943 · Answer

passe a l'option 2 avec navilog
tu mettras le rapport ici

ça va redémarrer en principe c'est normal

kelsett · Answer

Je vais faire ca. Par contre je suis en plein scan BitDefender qui me trouve plusieurs worms et trojans. Je passe à l'option 2 Navilog dès que j'ai fini ;)

kris6943 · Answer

tu peux la faire en même temps ça n'est pas un problème

kris6943 · Answer

dans ton dernier hijackthis apparemment tu as au moins deux antivirus qui fonctionnent en même temps

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe 

et peut être même trois

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 

Il est impératif qu'un seul antivirus soit installé sur un ordinateur sinon ça créé des conflits

alors désinstalle avast et AVG puis redemarres ton ordi avec antivir uniquement (avec base de données a jour)

kelsett · Answer

Les antivirus c'était juste pour faire des scans avec le maximum de logiciels... Je laisse donc Antivir.
Voici le log Navilog :
Clean Navipromo version 2.0.9 commencé le 29/08/2007 à 15:45:23,29

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 


*** Recherche avec GenericNaviSearch ***
!!! Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés supprimés avec backups :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression... 
C:\Program Files\WebMediaPlayer supprimé ! 


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Jonathan\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Jonathan\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Certificats :

Certificat Egroup supprimé !

*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***

Nettoyage registre Ok


*** Nettoyage termine le 29/08/2007 à 16:26:58,20 ***

kelsett · Answer

Hmm juste une question un peu hors sujet : tu ne saurai pas quel est le meilleur firewall gratuit ? C'est que là je n'en ai aucun et ca serait bête de choper un virus par dessus celui là...
Sinon j'ai désinstallé Avast, c'est bon.
Je n'ai pas la dernière update Antivir parce qu'il me dit qu'apparamment ma version a expirée... Pourtant j'ai la version gratuite, je trouve ca bizarre.

kelsett · Answer

Une idée ?

kelsett · Answer

Personne ? Je sais vraiment pas quoi faire et même si je savais je ne ferai rien sans votre avis donc si quelqu'un répondait ca serait bien...
S'il vous plaît quelqu'un ? kris6943 t'as trouvé quelque chose ?

kelsett · Answer

Je crois bien avoir trouvé une piste...
Il y a quelques heures suite à une recherche je suis tombé sur un fichier svchost.exe hors C:\Windows\ ....  Par contre dommage que je n'y ai pas pensé plus tot parce que je me rappelle plus l'endroit :-( mais je pense bien le retrouver en cherchant un peu. Est ce que c'est possible que ce soit un virus qui ai pris le nom d'un fichier système important pour se cacher ?

kris6943 · Answer

le svchost.exe c'est peut-être toi qui l'as déplacé par erreur...
pour le firewall gratuit: au choix Zone Alarm ou Sunbelt (ex Kerio)

pour antivir, ça parait bizarre effectivement ton truc mais je ne sais pas te répondre

refais un scan hijackthis pour verifier une dernière fois

kelsett · Answer

Je n'arrive pas à retrouver le svchost.exe, mais c'est sûrement une erreur comme tu dis...

############################

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:04, on 29/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntiSpywareApp\AntiSpywareSrv.srv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\PROGRAM FILES\IGN\DOWNLOAD MANAGER\DLM.EXE /windowsstart /startifwork
O4 - HKCU\..\Run: [PlayNC Launcher] C:\PROGRAM FILES\NCSOFT\LAUNCHER\NCLauncher.exe /Minimized
O4 - HKCU\..\Run: [Change Ecran] C:\Program Files\Change Ecran\Change Ecran.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DAEMON Tools.lnk = C:\Program Files\D-Tools\daemon.exe
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - 
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - https://www.fileplanet.com/
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiSpyware Scanning Engine (AntiSpywareSrv) - Unknown owner - C:\Program Files\AntiSpywareApp\AntiSpywareSrv.srv.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Creative PD1170 RunApp Service (PD1170Srv) - Creative Technology Ltd. - C:\WINDOWS\system32\P1170Srv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

kelsett · Answer

Alors, après analyse du log, quelle conclusion ?

kelsett · Answer

Up.

kris6943 · Answer

primo desinstalle mywebsearch par ajout/suppression de programme

désinstalle egalement AntiSpywareSrv (voir pourquoi ici)
https://www.bleepingcomputer.com/startups/AntiSpywareSrv.srv.exe-19586.html


fixe cette ligne avec hijackthis
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


secundo je reviens sitot que j'ai fini de regarder ton log

kris6943 · Answer

pour maywebsearch si tu y arrives pas par la voie normale
ressaye comme j'avais dit plus haut
desinstalles mywebsearch toolbar en allant ici et en cliquant sur Download MyWebSearch Removal Tool

http://antispyware.com/glossary_details.php?ID=1272

kris6943 · Answer

fixe egalement ceci
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

c'est le spyware de kazaa (p2p) sauf erreur de ma part

--------------------------------
pour AntiSpywareSrv regarde ce que c'est ici

https://www.bleepingcomputer.com/startups/AntiSpywareSrv.srv.exe-19586.html

kelsett · Answer

Je ne comprend pas...
Je n'arrive pas à désinstaller MyWebSearch par la voie normale. Donc je télécharge le MyWebSearch Removal Tool  ce removal tool étant AntiSpywareSrv que tu veux maintenant que je désintalle car serait un virus... Tu as dû te tromper quelque part si tu me dis de désintaller le MyWebSearch Removal Tool. D'ailleurs je ne peux pas supprimer les infections qu'il trouve sans l'acheter. Donc ensuite j'ai éssayé de désinstaller manuellement MyWebSearch en suivant les instructions de ton lien, mais aucune des clés du registre qu'il demande de supprimer n'existe... Ce serait donc une erreur de HijackThis...
Une explication un peu plus précise, stp ?

kelsett · Answer

Up.

kelsett · Answer

Un signe de vie s'il vous plaît quelqu'un

kris6943 · Answer

dans mon message n°44 j'ai fais un copier coller malheureux

la 2° partie du message n'avait pas lieu d'être

tu es sûr qu'il est payant? je n'avais pas l'impression...
sinon on peut la virer manuellement mais il faut le faire dans la base de registre  en supprimant ceci

KEY_CLASSES_ROOT\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10}

HKEY_CLASSES_ROOT\CLSID\{EF281620-A3A3-4f08-874F-D68CFC9B7945}

HKEY_CLASSES_ROOT\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404}

HKEY_CLASSES_ROOT\MyGlobalSearchBar

HKEY_CLASSES_ROOT\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{37B85A21-692B-4205-9CAD-2626E4993404}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{37B85A29-692B-4205-9CAD-2626E4993404}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper 

Objects\{37B85A21-692B-4205-9CAD-2626E4993404}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall

HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch

HKEY_CLASSES_ROOT\CLSID\{D73F49B1-B51B-4d32-A3B7-BD04B8342F53}

HKEY_CLASSES_ROOT\CLSID\{D73F49B6-B51B-4d32-A3B7-BD04B8342F53}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper 
Objects\{D73F49B1-B51B-4d32-A3B7-BD04B8342F53}

et aussi ceci dans le disque dur  (probablement dans C:\ ou l'un de ses sous dossiers)
Utilises la fonction recherche pour les trouver




f3cjpeg.dll
f3htmlmu.dll
f3popswt.dll
f3reprox.dll
f3restub.dll
f3scrctr.dll
m3outlcn.dll
m3skin.dll
mwsoeplg.dll

kelsett · Answer

J'ai déja essayé de supprimer manuellement mais ni les clés ni les fichiers n'existent...

kelsett · Answer

Up

kelsett · Answer

Je continue de faire des scans avec le plus d'antivirus possible... Acutellement Kaspersky Scan EnLigne et AVG...

kris6943 · Answer

les fichiers sont sans aucun doute des fichiers cachés et/ou système

pour les rendre visibles:
dans l'explorateur de windows
menu outils
options des dossiers
onglet affichage

1 cocher afficher les fichiers cachés
2 décocher masquer les fichiers protégés du SE
3 décocher masquer les extensions....

quand tu as fini remet les coches comme elles étaient avant surtout la ligne 2


pour la base de registre, est-ce que tu es sur d'avoir cherché correctement?
as-tu déjà fait des bidouillages dedans?  attention danger

si tu n'es pas sur de toi, avant toute chose, fais une sauvegarde de la BDR en allant dans fichier  > exporter
et tu l'enregistres . ce sera un fichier .reg que tu peux appeler comme tu veux

c'est ressemblant à l'explorateur windows 
mais attention de ne rien modifier d'autre que les lignes indiquées...danger

kris6943 · Answer

Avant de faire ce que j'ai dit avant (si c'est pas déjà fait...)
 tu peux essayer ceci
télécharger ceci    https://www.trendmicro.com/en_us/forHome.html    et lance le 

--------------------------------------


plus d'infos surr mywebsearch ici 

mywebsearch smiley central#13

kelsett · Answer

CWShredder.exe ne detecte rien...
J'ai suivi tes instructions sur les options de dossiers et j'ai re-cherché les fichiers MyWebSearch mais sans résultat.
pour la base de registre, est-ce que tu es sur d'avoir cherché correctement?
as-tu déjà fait des bidouillages dedans? attention danger 
J'ai bien cherché et j'ai vérifié toutes les clés mais je n'ai rien trouvé.
Je n'ai jamais fais de bidouillages dedans sauf pour un jeu il y a quelques mois de cela.

kelsett · Answer

Up.

kelsett · Answer

Résumé de ce qu'il se passe chez moi actuellement :
Je me demandais si ce n'était pas un problème Windows et j'ai essayé de télécharger les dernières mises-à-jour sur Windows Update mais le navigateur bloque et me dis toujours quelque chose comme :
svchost.exe - Application Error
The instruction at "0x7c81843" referenced memory at "0x03f6ffe". The memory could not be "read".
Click on OK to terminate the program
Click on CANCEL to debug the program
Si je  clique sur OK, le système plante et je dois redémarrer en débranchant la prise d'alimentation comme expliqué au début de ce topic. Je suis donc obligé de cliquer sur CANCEL et tout va bien sauf que IE stagne et je n'arrive pas à faire les MÀJ de Windows. (J'ai été chercher sur le net et j'ai lu qu'il était déja arrivé qu'un vers infecte le fichier system "svchost.exe").
En plus de tout cela, j'ai de plus en plus gros ralentissements de mon pc, limite à ne pas pouvoir surfer sur internet car à peu près toutes les 2 minutes ca bloque pendant 45 secondes autant sur Firefox que sur Internet Explorer ce qui est assez énervant à la longue.

kelsett · Answer

S'il vous plaît quelqu'un ?

kelsett · Answer

Up.

kelsett · Answer

Ma dernière solution : je vais essayer de réparer Windows pour voir si ca change quelque chose à condition que je retrouve le cd...
Si ca ne fonctionne pas je formate Windows cet après-midi ou demain selon le temps que j'ai sur moi.
Je suis un peu décu de CCM car j'avais lu sur de nombreux topics que vous trouviez toujours les solutions mais finalement une seule personne a été assez émable pour se pencher sur mon problème et je l'en remercie bien.
Si personne ne trouve une solution dans les prochaines heures, ce sera mon dernier post pour ce topic.
Bonne journée à tous.

chose · Answer

pour le password, prend : password recovery .... et change le :)

Anonyme · Answer

Encore plus Simple Formater tout le Système

Virus bloquant entièrement le PC

61 réponses

Votre réponse

Newsletters