Virus win32: obfuscated-BPP et BPO!!!

paulo10 Messages postés 26 Statut Membre -  
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjour,

J'ai comme anti-virus avast 4.7. avast me detecte des virus "win32: obfuscated-BPP et BPO" mais ne peut me les detruire.
De plus depuis que j'ai cet virus mon ordinateur est serrieusement ralenti. Comment peut-on faire pour les detruires? merci

Cordialement Paulo10

Voici le rapport de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:04, on 11/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\DOCUME~1\Paul\LOCALS~1\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.11.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P51 "Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA" /O26 "\\MORGAGNI-E1D9DA\EPSONSty" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\Paul\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 10297 bytes
Configuration: Windows XP
Firefox 2.0.0.7

37 réponses

  • 1
  • 2
Résumé de la discussion

Une infection détectée par Avast affiche les menaces Win32:obfuscated-BPP et Win32:obfuscated-BPO, ralentissant fortement le système et échappant à l’élimination de l’antivirus, ce qui justifie des mesures complémentaires.
Plusieurs outils de diagnostic comme HijackThis, BitDefender Online et Navilog sont mentionnés pour identifier les composants potentiels et orienter la désinfection, puis vérifier les suites.
D'autres échanges évoquent la suspicion d’éléments Lop et préconisent des manipulations de nettoyage pas sans avertissements, tout en évoquant le maintien temporaire d'Avast sous licence.
En parallèle, les discussions soulignent que des nouveaux rapports HijackThis ou des scans en ligne peuvent révéler des éléments sensibles et que la procédure de désinfection peut évoluer avec les retours de ces outils.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonjour Paul 10

    Probable infection Lop visible ici O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\Paul\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe

    Besoin d un autre rapport avant nettoyage :

    Télécharge lopxpMH2 de Lazzzy

    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.

    Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

    Poste le contenu du rapport qui va s'ouvrir.

    @ +
    0
  2. paulo10 Messages postés 26 Statut Membre 3
     
    Voici le rapport lopxpMH2 que vous m'avez demandé :

    cordialement Paulo10

    Rapport lopxpMH2 version 2.0 fait à 20:14:09,79 le 11/10/2007
    C:\Documents and Settings\Paul\Bureau\lopxpMH2

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\Default User\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    26/10/2006 19:59 <REP> Acer
    26/10/2006 19:59 <REP> Identities
    19/08/2006 04:30 <REP> Microsoft
    19/08/2006 04:30 62 desktop.ini
    1 fichier(s) 62 octets
    5 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    26/10/2006 19:59 <REP> ApplicationHistory
    19/08/2006 04:44 <REP> Microsoft
    26/10/2006 19:59 137 fusioncache.dat
    26/10/2006 19:59 3 756 732 IconCache.db
    2 fichier(s) 3 756 869 octets
    4 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\All Users\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    19/08/2006 05:37 <REP> Acer
    27/10/2006 17:40 <REP> Adobe
    27/10/2006 22:21 <REP> CyberLink
    26/10/2006 20:05 <REP> Intel
    28/10/2006 15:09 <REP> Messenger Plus!
    19/08/2006 04:30 <REP> Microsoft
    28/11/2006 17:40 <REP> nView_Profiles
    24/02/2007 17:51 <REP> seek grim love creative
    23/07/2007 22:11 <REP> Sony Ericsson
    19/08/2006 06:19 <REP> Symantec
    23/07/2007 22:11 <REP> Teleca
    02/11/2006 17:48 <REP> UDL
    26/10/2006 14:25 <REP> Windows Genuine Advantage
    19/08/2006 04:30 62 desktop.ini
    1 fichier(s) 62 octets
    15 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\NetworkService\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    19/08/2006 04:30 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    19/08/2006 04:50 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\LocalService\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    19/08/2006 04:30 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    19/08/2006 04:50 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\Administrateur\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    19/08/2006 05:40 <REP> Acer
    19/08/2006 04:56 <REP> Identities
    19/08/2006 04:30 <REP> Microsoft
    19/08/2006 04:30 62 desktop.ini
    1 fichier(s) 62 octets
    5 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    19/08/2006 04:54 <REP> ApplicationHistory
    19/08/2006 04:44 <REP> Microsoft
    19/08/2006 04:54 137 fusioncache.dat
    19/08/2006 06:41 3 756 732 IconCache.db
    2 fichier(s) 3 756 869 octets
    4 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\Paul\Application Data

    26/10/2006 20:00 <REP> .
    26/10/2006 20:00 <REP> ..
    24/02/2007 17:51 <REP> acebitssite
    26/10/2006 20:00 <REP> Acer
    27/10/2006 20:14 <REP> Adobe
    01/11/2006 11:07 <REP> AdobeUM
    05/07/2007 14:21 <REP> Azureus
    27/10/2006 22:22 <REP> CyberLink
    12/02/2007 18:41 <REP> EPSON
    05/10/2007 21:32 <REP> Google
    19/11/2006 15:07 <REP> Help
    26/10/2006 20:00 <REP> Identities
    26/10/2006 20:09 <REP> Macromedia
    26/10/2006 20:00 <REP> Microsoft
    27/10/2006 17:41 <REP> Mozilla
    29/04/2007 10:29 <REP> Screenshot Sender
    23/07/2007 22:15 <REP> Sony Ericsson
    20/12/2006 12:32 <REP> Sun
    23/07/2007 22:15 <REP> Teleca
    05/11/2006 10:30 <REP> U3
    25/01/2007 14:47 <REP> vlc
    26/10/2006 20:00 62 desktop.ini
    30/12/2006 20:27 187 G-Force Prefs (WindowsMediaPlayer).txt
    2 fichier(s) 249 octets
    21 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Documents and Settings\Paul\Local Settings\Application Data

    26/10/2006 20:00 <REP> .
    26/10/2006 20:00 <REP> ..
    27/10/2006 20:14 <REP> Adobe
    26/10/2006 20:00 <REP> ApplicationHistory
    27/10/2006 17:43 <REP> Google
    19/11/2006 15:07 <REP> Help
    28/10/2006 12:38 <REP> Identities
    26/10/2006 20:00 <REP> Microsoft
    27/10/2006 17:41 <REP> Mozilla
    11/05/2007 20:50 <REP> PCHealth
    01/11/2006 13:30 <REP> WMTools Downloaded Files
    27/10/2006 17:43 214 528 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    26/10/2006 20:00 127 fusioncache.dat
    26/10/2006 20:03 41 320 GDIPFONTCACHEV1.DAT
    26/10/2006 20:00 4 236 578 IconCache.db
    4 fichier(s) 4 492 553 octets
    11 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    18/09/2006 03:25 <REP> .
    18/09/2006 03:25 <REP> ..
    26/10/2006 19:59 <REP> Acer
    26/10/2006 19:59 <REP> Identities
    26/10/2006 20:05 <REP> Intel
    19/08/2006 04:30 <REP> Microsoft
    19/08/2006 04:30 62 desktop.ini
    1 fichier(s) 62 octets
    6 Rép(s) 15 475 507 200 octets libres
    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    18/09/2006 03:25 <REP> .
    18/09/2006 03:25 <REP> ..
    26/10/2006 19:59 <REP> ApplicationHistory
    19/08/2006 04:44 <REP> Microsoft
    26/10/2006 19:59 137 fusioncache.dat
    26/10/2006 19:59 3 756 732 IconCache.db
    2 fichier(s) 3 756 869 octets
    4 Rép(s) 15 475 507 200 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C s'appelle ACER
    Le numéro de série du volume est 0954-16DC

    Répertoire de C:\Program Files

    18/09/2006 03:28 <REP> .
    18/09/2006 03:28 <REP> ..
    29/04/2007 10:28 <REP> acebitssite
    26/10/2006 20:07 <REP> Acer
    19/08/2006 05:24 <REP> Acer Inc
    24/11/2006 11:35 <REP> Acoustica Mixcraft
    24/11/2006 11:35 <REP> Acoustica Shared Effects
    19/08/2006 05:24 <REP> Adobe
    24/02/2007 17:50 <REP> Adverts
    25/11/2006 10:53 <REP> ALCATech
    27/10/2006 17:44 <REP> Alwil Software
    05/07/2007 14:21 <REP> Azureus
    19/11/2006 16:30 <REP> CDex_150
    19/08/2006 04:40 <REP> ComPlus Applications
    19/08/2006 05:21 <REP> CONEXANT
    19/08/2006 05:26 <REP> CyberLink
    01/11/2006 14:06 <REP> eMule
    27/10/2006 19:53 <REP> EPSON
    19/08/2006 04:30 <REP> Fichiers communs
    19/08/2006 04:58 <REP> FrenchOtto
    19/08/2006 04:58 <REP> GemMasterFrench
    07/01/2007 13:26 <REP> Google
    19/08/2006 04:51 <REP> Intel
    19/08/2006 04:41 <REP> Internet Explorer
    30/03/2007 19:26 <REP> ISCLIE
    20/12/2006 12:30 <REP> Java
    26/10/2006 20:04 <REP> Launch Manager
    19/08/2006 04:38 <REP> Messenger
    24/02/2007 17:50 <REP> Messenger Plus! Live
    28/10/2006 14:16 <REP> MessengerPlus! 3
    19/08/2006 04:45 <REP> microsoft frontpage
    04/11/2006 17:31 <REP> Microsoft Office
    04/11/2006 17:31 <REP> Microsoft.NET
    19/08/2006 04:39 <REP> Movie Maker
    27/10/2006 17:41 <REP> Mozilla Firefox
    19/08/2006 04:38 <REP> MSN
    28/10/2006 15:05 <REP> MSN Apps
    19/08/2006 04:38 <REP> MSN Gaming Zone
    28/10/2006 14:24 <REP> MSN Messenger
    19/08/2007 20:07 <REP> MSXML 4.0
    19/08/2006 04:41 <REP> NetMeeting
    19/08/2006 05:31 <REP> NewTech Infosystems
    19/08/2006 04:40 <REP> Online Services
    19/08/2006 04:41 <REP> Outlook Express
    20/01/2007 12:27 <REP> PacificPoker
    27/10/2006 17:43 <REP> Picasa2
    19/08/2006 05:20 <REP> Realtek
    28/10/2006 14:15 <REP> Satsuki Decoder Pack
    30/10/2006 21:48 <REP> Securitoo
    19/08/2006 04:42 <REP> Services en ligne
    30/03/2007 19:22 <REP> Sony
    23/07/2007 22:11 <REP> Sony Ericsson
    30/03/2007 19:19 <REP> Sony Handheld
    19/08/2006 05:23 <REP> Synaptics
    11/10/2007 17:59 <REP> Trend Micro
    27/01/2007 14:48 <REP> VideoLAN
    24/11/2006 11:46 <REP> VirtualDJ
    31/10/2006 19:20 <REP> Wanadoo
    03/09/2007 14:54 <REP> Windows Live
    17/06/2007 20:07 <REP> Windows Live Safety Center
    28/01/2007 17:29 <REP> Windows Media Connect 2
    19/08/2006 04:39 <REP> Windows Media Player
    19/08/2006 04:38 <REP> Windows NT
    19/08/2006 04:39 <REP> Windows Plus
    26/10/2006 20:05 <REP> WinPCap
    28/10/2006 14:18 <REP> WinRAR
    19/08/2006 04:45 <REP> xerox
    0 fichier(s) 0 octets
    67 Rép(s) 15 475 507 200 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    dns-look-up.com REG_SZ
    www.dns-look-up.com REG_SZ
    mysearchnow.com REG_SZ
    www.mysearchnow.com REG_SZ
    netbios-wait.com REG_SZ
    www.netbios-wait.com REG_SZ
    searchweb2.com REG_SZ
    www.searchweb2.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\PAUL\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\6AI7PCUT.DEFAULT\HOSTPERM.1
    host popup 1 www.montgenevre.com
    host popup 1 www.mx2k.com
    host popup 1 webmessenger.msn.com

    ******************************************
    ## Registre

    * [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
    Search Bar REG_SZ https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F

    * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Sony Ericsson PC Suite REG_SZ "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    deleteshow REG_SZ C:\DOCUME~1\Paul\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  3. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir

    Il y a du Lop en effet, ancien apparament, on va s en debarrasser, je te prepare une manip

    @+
    0
  4. paulo10 Messages postés 26 Statut Membre 3
     
    Bonsoir merci c cool de s'en occuper!!

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Allez on y va

    Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procedure correctement.
    (Note: tu n'auras pas accès à Internet à partir du moment ou te redemarrera en mode sans echec)
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscur, demande des explications avant de commencer la désinfection



    1) Telecharge


    -- CCleaner Basic v2.01.507
    https://www.ccleaner.com/ccleaner/download

    Installe puis lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
    Par la suite, laisse-le avec ses réglages par défaut.
    Fermer le programme pour l instant.

    -- OTMoveIt (de Old_Timer)

    sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    Ni touche pas pour l instant.

    2) Crée un nouveau document texte :

    clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

    REGEDIT 4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "deleteshow"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "dns-look-up.com"=-
    "www.dns-look-up.com"=-
    "searchweb2.com"=-
    "mysearchnow.com"=-
    "www.mysearchnow.com"=-
    "www.searchweb2.com"=-
    "www.searchweb2.com"=-
    "netbios-wait.com"=-
    "www.netbios-wait.com"=-


    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : reglop.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    Note:
    * Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
    * Fait bien attention que REGEDIT 4 soit sur la toute 1ere ligne


    Ferme le.
    N y touche plus pour l instant.

    3) Desinstallation des programmes obsoletes

    Via demarrer /panneau de config /ajouts et suppressions de programmes

    Desinstalle les programmes suivant (s ils sont presents) :

    Adverts
    et
    acebitssite
    Clique sur Adverts puis supprimer, fais de meme pour acebitssite .

    4) OTMoveIt (de Old_Timer)

    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    Double clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :
    Paste List of Files/Folders to be moved.

    C:\Documents and Settings\Paul\Application Data\acebitssite
    C:\Documents and Settings\All Users\Application Data\seek grim love creative
    C:\Program Files\acebitssite
    C:\Program Files\Adverts


    Clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.


    5) reglop.reg

    Double clique sur reglop.reg (que tu as créé sur ton bureau)

    => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

    Si c'est bien le cas, clique sur "oui"

    6) Lance CCleaner
    Puis dans le menu Nettoyeur
    Cliquer sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
    cliquer sur le bouton Lancer le nettoyage.
    Fais cela plusieurs fois d affilé puis ferme CCleaner

    7) Rapports

    Redemarre en mode normal et genere un nouvel HijackThis que tu posteras en reponse (ensuite nous irons a la chasse de navipromo qui doit etre celui qui te pose ces problemes)

    @ suivre
    0
  7. paulo10 Messages postés 26 Statut Membre 3
     
    Bonsoir j'ai effectué la manip jusqu'au 3 "ajout et suppression de programme", mais n'ai pas les 2 programme que vous m'avez cités (adverts et acebitssite). Que doit-je faire?

    merci !
    0
  8. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Paulo

    Continu la manip avec le 4)

    En 3) je t avais ecrit Desinstalle les programmes suivant (s ils sont presents) :

    @ suivre
    0
  9. paulo10 Messages postés 26 Statut Membre 3
     
    Voila c fait!! je vous envoi le nouvelle hijackthis:

    cordialement paulo10

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:53:39, on 12/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Acer\Empowering Technology\admServ.exe
    C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Acer\Empowering Technology\admtray.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\PROGRA~1\LAUNCH~1\LManager.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\ElkCtrl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
    C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\DOCUME~1\Paul\LOCALS~1\Temp\RtkBtMnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\Program Files\Java\jre1.5.0_09\bin\jucheck.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.11.254:80
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
    O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
    O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
    O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
    O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P51 "Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA" /O26 "\\MORGAGNI-E1D9DA\EPSONSty" /M "Stylus DX3800"
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\Paul\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    0
  10. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Paulo

    Qu en est il du probleme initial stp ?

    Fais ceci stp :

    Navilog d'Il Mafioso
    option1

    Télécharge Navilog1 depuis-ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau .

    Au menu principal, Fais le choix 1
    Laisse toi guider et patiente.
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuies sur une touche le blocnote va s'ouvrir.

    Copie-colle l'intégralité du rapport dans une réponse.
    Referme le blocnote
    Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

    @+
    0
  11. paulo10 Messages postés 26 Statut Membre 3
     
    voici le rapport de Navilog:

    Search Navipromo version 3.2.1 commencé le 12/10/2007 à 20:08:47,46

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\Paul\Application Data ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun fichier trouvé dans :

    - C:\WINDOWS\system32
    - C:\DOCUME~1\PAUL\LOCALS~1\APPLIC~1

    *** Recherche avec GenericNaviSearch ***
    !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    * Scan C:\WINDOWS\system32 *

    * Scan C:\DOCUME~1\PAUL\LOCALS~1\APPLIC~1 *

    *** Recherche fichiers ***

    *** Recherche cles registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :

    3)Recherche Certificats :

    Certificat Egroup absent !

    *** Analyse Terminé le 12/10/2007 à 20:09:06,18 ***
    0
  12. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Paulo
    *
    Qu en est il du probleme initial stp ?
    est ce que ton pc va mieux ?

    * Supprime Navilog1 du PC, 2 choix :

    - Via ajout/suppression des programmes (Navilog1)
    - Via le fichier uninstall présent dals le dossier %programfiles%\navilog1.

    N'oublie pas après désinfection de supprimer également le dossier Navilog1 présent dans %programfiles%

    * A lire et a méditer ++ car avec Avast, tu n es pas très bien protégé:

    Comparatif avast VS Antivir :

    http://forum.malekal.com/ftopic3528.php

    Si tu te décides a installer Antivir, telechargeable gratuitement ici https://www.avira.com/ désinstalle avast d abord et une fois antivir installé paramètre le comme indiqué ici :

    http://speedweb1.free.fr/frames2.php?page=tuto5

    Puis fait les mises a jours de ce celui ci via click droit sur le « parapluie rouge » dans la barre des taches en bas a dt et « start up date ».Laisse finir le processus, redémarre en mode sans échec, puis fait un scan avec Antivir, mets en quarantaine tout de qu il trouve et poste le rapport en réponse

    @+
    0
  13. paulo10 Messages postés 26 Statut Membre 3
     
    oui mon pc va mieu

    merci pour ces explication!!!

    cordialement paul
    0
  14. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Paulo

    Ce n est pas deja fini par contre. Il nous faut encore faire quelques ptites verifs

    @+
    0
  15. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Rebonsoir

    On continue ;-)

    Cleanzip

    * Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip

    * Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    * Ouvre le dossier Clean qui se trouve sur ton bureau.
    * Double-clique sur clean.cmd.
    Une fenêtre noire va apparaître,

    choisis l'option 1

    Puis Poste le rapport qui se trouve ici C:\rapport_clean.txt

    @+
    0
  16. paulo10 Messages postés 26 Statut Membre 3
     
    Bonsoir voici le rapport clean :

    15/10/2007 a 21:17:35,83

    *** Recherche des fichiers dans C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32

    *** Recherche des fichiers dans C:\Program Files
    *** Fin du rapport !

    a+
    0
  17. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Paulo

    Tu peux cocher que skype ne se lance pas au demarrage de Windows ceci t econnomisera des ressources, fait aussi ce qui suit

    Lance HijackThis.


    Ferme toutes les autres fenetres, tous les autres programmes.Pas de connection internet.


    Clique surDo a system scan only et coche les lignes suivantes, Clique sur Fix Checked puis clique sur OK

    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
    O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
    O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
    O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE


    Redemarre ton pc et poste un nouvel HijackThis en reponse, on en termine bientot.

    @ suivre car il restera des conseils importants de securité a appliquer.
    0
  18. paulo10 Messages postés 26 Statut Membre 3
     
    bonsoir,

    voici le rapport hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:09:23, on 16/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Acer\Empowering Technology\admServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    0
  19. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Paulo

    Qu'as tu fait , je n'ai pas demandé de fixer toutes ces lignes, il n 'a meme plus Avast sur le demarrage en O4.. .plus de O9...

    Est ce une errerur dans le copier/coller du rapport ? Si tu as vraiment fixé tout ce qui manque, je te ferai restaurer ce qui doit l etre..

    @ suivre
    0
  20. paulo10 Messages postés 26 Statut Membre 3
     
    Bonjour

    Oui désolé je me suis planté j'ai coché toutes les lignes, sa devait être l'apéro qui faisait effet!!!

    Il faut donc essayer de retrapper mon erreur!!!

    merci
    0
  21. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Hello

    Oui on va rattrapper cela j emene mon fils a l ecole, je reviens

    @+
    0
  • 1
  • 2