virus win32: obfuscated-BPP et BPO!!!

Question

Bonjour,

     J'ai comme anti-virus avast 4.7. avast me detecte des virus  "win32: obfuscated-BPP et BPO" mais ne peut me les detruire.
De plus depuis que j'ai cet virus mon ordinateur est serrieusement ralenti. Comment peut-on faire pour les detruires?  merci 

               Cordialement Paulo10

    Voici le rapport de hijackthis : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:04, on 11/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\DOCUME~1\Paul\LOCALS~1\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\system32undll32.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.11.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P51 "Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA" /O26 "\MORGAGNI-E1D9DA\EPSONSty" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\Paul\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Le sioux · Answer

Bonjour Paul 10

Probable infection Lop visible ici O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\Paul\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe 

Besoin d un autre rapport avant nettoyage :

 Télécharge lopxpMH2 de Lazzzy

 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

 Poste le contenu du rapport qui va s'ouvrir.

@ +

paulo10 · Answer

Voici le rapport lopxpMH2 que vous m'avez demandé : cordialement Paulo10 Rapport lopxpMH2 version 2.0 fait à 20:14:09,79 le 11/10/2007 C:\Documents and Settings\Paul\Bureau\lopxpMH2 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\Default User\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 26/10/2006 19:59 Acer 26/10/2006 19:59 Identities 19/08/2006 04:30 Microsoft 19/08/2006 04:30 62 desktop.ini 1 fichier(s) 62 octets 5 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 26/10/2006 19:59 ApplicationHistory 19/08/2006 04:44 Microsoft 26/10/2006 19:59 137 fusioncache.dat 26/10/2006 19:59 3 756 732 IconCache.db 2 fichier(s) 3 756 869 octets 4 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\All Users\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 19/08/2006 05:37 Acer 27/10/2006 17:40 Adobe 27/10/2006 22:21 CyberLink 26/10/2006 20:05 Intel 28/10/2006 15:09 Messenger Plus! 19/08/2006 04:30 Microsoft 28/11/2006 17:40 nView_Profiles 24/02/2007 17:51 seek grim love creative 23/07/2007 22:11 Sony Ericsson 19/08/2006 06:19 Symantec 23/07/2007 22:11 Teleca 02/11/2006 17:48 UDL 26/10/2006 14:25 Windows Genuine Advantage 19/08/2006 04:30 62 desktop.ini 1 fichier(s) 62 octets 15 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\NetworkService\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 19/08/2006 04:30 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 19/08/2006 04:50 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\LocalService\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 19/08/2006 04:30 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 19/08/2006 04:50 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\Administrateur\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 19/08/2006 05:40 Acer 19/08/2006 04:56 Identities 19/08/2006 04:30 Microsoft 19/08/2006 04:30 62 desktop.ini 1 fichier(s) 62 octets 5 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 18/09/2006 03:28 . 18/09/2006 03:28 .. 19/08/2006 04:54 ApplicationHistory 19/08/2006 04:44 Microsoft 19/08/2006 04:54 137 fusioncache.dat 19/08/2006 06:41 3 756 732 IconCache.db 2 fichier(s) 3 756 869 octets 4 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\Paul\Application Data 26/10/2006 20:00 . 26/10/2006 20:00 .. 24/02/2007 17:51 acebitssite 26/10/2006 20:00 Acer 27/10/2006 20:14 Adobe 01/11/2006 11:07 AdobeUM 05/07/2007 14:21 Azureus 27/10/2006 22:22 CyberLink 12/02/2007 18:41 EPSON 05/10/2007 21:32 Google 19/11/2006 15:07 Help 26/10/2006 20:00 Identities 26/10/2006 20:09 Macromedia 26/10/2006 20:00 Microsoft 27/10/2006 17:41 Mozilla 29/04/2007 10:29 Screenshot Sender 23/07/2007 22:15 Sony Ericsson 20/12/2006 12:32 Sun 23/07/2007 22:15 Teleca 05/11/2006 10:30 U3 25/01/2007 14:47 vlc 26/10/2006 20:00 62 desktop.ini 30/12/2006 20:27 187 G-Force Prefs (WindowsMediaPlayer).txt 2 fichier(s) 249 octets 21 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Documents and Settings\Paul\Local Settings\Application Data 26/10/2006 20:00 . 26/10/2006 20:00 .. 27/10/2006 20:14 Adobe 26/10/2006 20:00 ApplicationHistory 27/10/2006 17:43 Google 19/11/2006 15:07 Help 28/10/2006 12:38 Identities 26/10/2006 20:00 Microsoft 27/10/2006 17:41 Mozilla 11/05/2007 20:50 PCHealth 01/11/2006 13:30 WMTools Downloaded Files 27/10/2006 17:43 214 528 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 26/10/2006 20:00 127 fusioncache.dat 26/10/2006 20:03 41 320 GDIPFONTCACHEV1.DAT 26/10/2006 20:00 4 236 578 IconCache.db 4 fichier(s) 4 492 553 octets 11 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 18/09/2006 03:25 . 18/09/2006 03:25 .. 26/10/2006 19:59 Acer 26/10/2006 19:59 Identities 26/10/2006 20:05 Intel 19/08/2006 04:30 Microsoft 19/08/2006 04:30 62 desktop.ini 1 fichier(s) 62 octets 6 Rép(s) 15 475 507 200 octets libres Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 18/09/2006 03:25 . 18/09/2006 03:25 .. 26/10/2006 19:59 ApplicationHistory 19/08/2006 04:44 Microsoft 26/10/2006 19:59 137 fusioncache.dat 26/10/2006 19:59 3 756 732 IconCache.db 2 fichier(s) 3 756 869 octets 4 Rép(s) 15 475 507 200 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C s'appelle ACER Le numéro de série du volume est 0954-16DC Répertoire de C:\Program Files 18/09/2006 03:28 . 18/09/2006 03:28 .. 29/04/2007 10:28 acebitssite 26/10/2006 20:07 Acer 19/08/2006 05:24 Acer Inc 24/11/2006 11:35 Acoustica Mixcraft 24/11/2006 11:35 Acoustica Shared Effects 19/08/2006 05:24 Adobe 24/02/2007 17:50 Adverts 25/11/2006 10:53 ALCATech 27/10/2006 17:44 Alwil Software 05/07/2007 14:21 Azureus 19/11/2006 16:30 CDex_150 19/08/2006 04:40 ComPlus Applications 19/08/2006 05:21 CONEXANT 19/08/2006 05:26 CyberLink 01/11/2006 14:06 eMule 27/10/2006 19:53 EPSON 19/08/2006 04:30 Fichiers communs 19/08/2006 04:58 FrenchOtto 19/08/2006 04:58 GemMasterFrench 07/01/2007 13:26 Google 19/08/2006 04:51 Intel 19/08/2006 04:41 Internet Explorer 30/03/2007 19:26 ISCLIE 20/12/2006 12:30 Java 26/10/2006 20:04 Launch Manager 19/08/2006 04:38 Messenger 24/02/2007 17:50 Messenger Plus! Live 28/10/2006 14:16 MessengerPlus! 3 19/08/2006 04:45 microsoft frontpage 04/11/2006 17:31 Microsoft Office 04/11/2006 17:31 Microsoft.NET 19/08/2006 04:39 Movie Maker 27/10/2006 17:41 Mozilla Firefox 19/08/2006 04:38 MSN 28/10/2006 15:05 MSN Apps 19/08/2006 04:38 MSN Gaming Zone 28/10/2006 14:24 MSN Messenger 19/08/2007 20:07 MSXML 4.0 19/08/2006 04:41 NetMeeting 19/08/2006 05:31 NewTech Infosystems 19/08/2006 04:40 Online Services 19/08/2006 04:41 Outlook Express 20/01/2007 12:27 PacificPoker 27/10/2006 17:43 Picasa2 19/08/2006 05:20 Realtek 28/10/2006 14:15 Satsuki Decoder Pack 30/10/2006 21:48 Securitoo 19/08/2006 04:42 Services en ligne 30/03/2007 19:22 Sony 23/07/2007 22:11 Sony Ericsson 30/03/2007 19:19 Sony Handheld 19/08/2006 05:23 Synaptics 11/10/2007 17:59 Trend Micro 27/01/2007 14:48 VideoLAN 24/11/2006 11:46 VirtualDJ 31/10/2006 19:20 Wanadoo 03/09/2007 14:54 Windows Live 17/06/2007 20:07 Windows Live Safety Center 28/01/2007 17:29 Windows Media Connect 2 19/08/2006 04:39 Windows Media Player 19/08/2006 04:38 Windows NT 19/08/2006 04:39 Windows Plus 26/10/2006 20:05 WinPCap 28/10/2006 14:18 WinRAR 19/08/2006 04:45 xerox 0 fichier(s) 0 octets 67 Rép(s) 15 475 507 200 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow dns-look-up.com REG_SZ www.dns-look-up.com REG_SZ mysearchnow.com REG_SZ www.mysearchnow.com REG_SZ netbios-wait.com REG_SZ www.netbios-wait.com REG_SZ searchweb2.com REG_SZ www.searchweb2.com REG_SZ * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\PAUL\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\6AI7PCUT.DEFAULT\HOSTPERM.1 host popup 1 www.montgenevre.com host popup 1 www.mx2k.com host popup 1 webmessenger.msn.com ****************************************** ## Registre * [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Search Bar REG_SZ https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Sony Ericsson PC Suite REG_SZ "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] deleteshow REG_SZ C:\DOCUME~1\Paul\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport ****************

Le sioux · Answer

Bonsoir

Il y a du Lop en effet, ancien apparament, on va s en debarrasser, je te prepare une manip

@+

paulo10 · Answer

Bonsoir merci c cool de s'en occuper!!

a+

Le sioux · Answer

Re

Allez on y va

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procedure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redemarrera en mode sans echec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection


1) Telecharge

-- CCleaner Basic v2.01.507
https://www.ccleaner.com/ccleaner/download

Installe puis lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut.
Fermer le programme pour l instant.

-- OTMoveIt (de Old_Timer)

sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Ni touche pas pour l instant.

2) Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) : 

REGEDIT 4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"deleteshow"=-
 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"dns-look-up.com"=-
"www.dns-look-up.com"=-
"searchweb2.com"=-
"mysearchnow.com"=-
"www.mysearchnow.com"=-
"www.searchweb2.com"=-
"www.searchweb2.com"=-
"netbios-wait.com"=-
"www.netbios-wait.com"=-

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fait bien attention que REGEDIT 4 soit sur la toute 1ere ligne

Ferme le.
N y touche plus pour l instant. 

3) Desinstallation des programmes obsoletes

Via demarrer /panneau de config /ajouts et suppressions de programmes

Desinstalle les programmes suivant (s ils sont presents) :

Adverts
et
acebitssite 
Clique sur Adverts puis supprimer, fais de meme pour acebitssite .

4)  OTMoveIt (de Old_Timer)

Télécharge  OTMoveIt (de Old_Timer) sur ton Bureau.  http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clique  sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\Documents and Settings\Paul\Application Data\acebitssite 
C:\Documents and Settings\All Users\Application Data\seek grim love creative 
C:\Program Files\acebitssite 
C:\Program Files\Adverts 


Clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes. 

5) reglop.reg

Double clique sur reglop.reg (que tu as créé sur ton bureau)

=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

Si c'est bien le cas, clique sur "oui"

6) Lance CCleaner
Puis dans le menu Nettoyeur
Cliquer sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
cliquer sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois d affilé puis ferme CCleaner

7) Rapports

Redemarre en mode normal et genere un nouvel HijackThis que tu posteras en reponse  (ensuite nous irons a la chasse de navipromo qui doit etre celui qui te pose ces problemes)

@ suivre

paulo10 · Answer

Bonsoir j'ai effectué la manip jusqu'au 3 "ajout et suppression de programme", mais  n'ai pas les 2 programme que vous m'avez cités (adverts et acebitssite). Que doit-je faire? 

merci !

Le sioux · Answer

Bonsoir Paulo

Continu la manip avec le 4) 

En 3) je t avais ecrit Desinstalle les programmes suivant (s ils sont presents) : 

@ suivre

paulo10 · Answer

Voila c fait!! je vous envoi le nouvelle hijackthis: 

cordialement paulo10

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:53:39, on 12/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\system32undll32.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\DOCUME~1\Paul\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Java\jre1.5.0_09\bin\jucheck.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.11.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P51 "Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA" /O26 "\MORGAGNI-E1D9DA\EPSONSty" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\Paul\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Le sioux · Answer

Bonsoir Paulo

Qu en est il du probleme initial stp  ?

Fais ceci stp :

Navilog d'Il Mafioso  option1

Télécharge  Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau .

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche le blocnote va s'ouvrir.

Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

@+

paulo10 · Answer

voici le rapport de Navilog: 

Search Navipromo version 3.2.1 commencé le 12/10/2007 à 20:08:47,46

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Paul\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\PAUL\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\DOCUME~1\PAUL\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 12/10/2007 à 20:09:06,18 ***

Le sioux · Answer

Bonsoir Paulo
* 
Qu en est il du probleme initial stp ?   est ce que ton pc va mieux ?

* Supprime Navilog1 du PC, 2 choix :

- Via ajout/suppression des programmes (Navilog1)
- Via le fichier uninstall présent dals le dossier %programfiles%
avilog1.

N'oublie pas après désinfection de supprimer également le dossier Navilog1 présent dans %programfiles%

* A lire et a méditer ++  car avec Avast, tu n es pas très bien protégé:

Comparatif avast VS Antivir :

http://forum.malekal.com/ftopic3528.php

Si tu te décides a installer Antivir, telechargeable gratuitement ici https://www.avira.com/  désinstalle avast d abord et une fois antivir installé paramètre le comme indiqué ici :

http://speedweb1.free.fr/frames2.php?page=tuto5

Puis fait les mises a jours de ce celui ci via click droit sur le « parapluie rouge » dans la barre des taches en bas a dt et « start up date ».Laisse finir le processus, redémarre en mode sans échec, puis fait un scan avec Antivir, mets en quarantaine tout de qu il trouve et poste le rapport en réponse

@+

paulo10 · Answer

oui mon pc va mieu 

merci pour ces explication!!!

cordialement paul

Le sioux · Answer

Bonsoir Paulo

Ce n est pas deja fini  par contre. Il nous faut encore faire quelques ptites verifs 

@+

Le sioux · Answer

Rebonsoir

On continue  ;-)

Cleanzip

* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 1

Puis Poste le rapport qui se trouve ici C:\rapport_clean.txt

@+

paulo10 · Answer

Bonsoir voici le rapport  clean : 

15/10/2007 a 21:17:35,83 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport ! 

a+

Le sioux · Answer

Bonsoir Paulo

Tu peux cocher que skype ne se lance pas au demarrage de Windows ceci t econnomisera des ressources, fait aussi ce qui suit

Lance HijackThis.

Ferme toutes les autres fenetres, tous les autres programmes.Pas de connection internet.

Clique surDo a system scan only et coche les lignes suivantes, Clique sur Fix Checked puis clique sur OK

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE

Redemarre ton pc et poste un nouvel HijackThis en reponse, on en termine bientot.

@ suivre car il restera des conseils importants de securité a appliquer.

paulo10 · Answer

bonsoir, 

voici le rapport  hijackthis: 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:23, on 16/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Le sioux · Answer

Bonsoir Paulo

Qu'as tu fait , je n'ai pas demandé de fixer toutes ces lignes, il n 'a meme plus Avast sur le demarrage en O4.. .plus de O9...

Est ce une errerur dans le copier/coller du rapport ? Si tu as vraiment fixé tout ce qui manque, je te ferai restaurer ce qui doit l etre..

 @ suivre

paulo10 · Answer

Bonjour

Oui désolé je me suis planté j'ai coché toutes les lignes, sa devait être l'apéro qui faisait effet!!! 

Il faut donc essayer de retrapper mon erreur!!!

merci

Le sioux · Answer

Hello

Oui on va rattrapper cela j emene mon fils a l ecole, je reviens

@+

paulo10 · Answer

Merci mais prend ton temps pour l'emener à l'école je suis au boulo, et je n'ai pas accès à mon ordinateur par contre je rentre vers 18h. 

Bonne journé peut-être à ce soir 

Encore merci

Le sioux · Answer

Re_tour  ;-)

 Ca y est mon papoose est a l'école.
T es au taff, bon courage alors, tu feras donc cela ce soir, c est moi qui y serai a mon tour..(je bosse de nuit)

Lance HijackThis.

Ferme toutes les autres fenetres, tous les autres programmes.Pas de connection internet.

Clique surOpen the Misc Tools section     puis clique sur Backups

Coche conscienscieusement les lignes qui suivent uniquement :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.11.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P51 "Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA" /O26 "\MORGAGNI-E1D9DA\EPSONSty" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll 

Ne fait pas d erreur, verifie bien les lignes que j ai citées uniquement (il y a des O4 que je ne veux pas voir reapparaitre)

Puis coche sur restore.

Redemarre ton pc et fait un nouvel Hijackthis et envoie moi le rapport en réponse.

@ suivre.

paulo10 · Answer

Re

voici le nouvelle hijackthis que tu m'a demandé:

Travail bien!!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:51, on 17/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32undll32.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\dllhost.exe
C:\DOCUME~1\Paul\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.11.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P51 "Auto EPSON Stylus DX3800 Series sur MORGAGNI-E1D9DA" /O26 "\MORGAGNI-E1D9DA\EPSONSty" /M "Stylus DX3800"
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Le sioux · Answer

Bonjour Paulo

Tu n a pas restaurer ses lignes la

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll 
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll 

Ce n est pas essentiel, mais je te les avait listées aussi.

Par la suite , nous pourrons conclure si ton pc se porte bien..  ;-)  je te donnerai  des conseils de securité a appliquer.

@ suivre

paulo10 · Answer

Bonjour, les lignes que tu ma listé dans ton mail précedent, je les est toutes cochées c'est sur car je les est imprimées et rayées au fûr et à mesure que je les cochai sur l'ordi. bref sinon maintenant avast ne met plus la protection residente et me met un message d'erreur mais je t'en dirai plus ce soir!!!

Sinon il fonctionne très bien maintenant merci!!!

paulo10 · Answer

rectification la seul que j'ai oublier la voici :
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

merci

Le sioux · Answer

Bonjour

Pour Avast clique droit sur l icone barre des taches et demarrer protection residente.

Sinon, a propos d avast il vient de te faire gouter a ses limites...c est le moment de lire ce qui suit :

 Sache qu avec Avast, tu n es pas très bien protégé:

Comparatif avast VS Antivir :  http://forum.malekal.com/ftopic3528.php

------------------------------------------------------------------------------------------------------------------

Si tu te decides a installer Antivir, désinstalle avast d abord et fait ce qui suit :

------------------------------------------------------------------------------------------------------------------

1)Télécharge Avira antivir

-- Télécharge Avira antivir PersonalEdition Classic a partir de ce lien :
https://www.avira.com/  sur ton bureau.

2) Désinstallation d avast

Mets toi hors connexion , puis désinstalle Avast via démarrer /panneau de config/ ajout et suppression de programmes

3) Installe et paramètre puis mets a jour Antivir

Double clique sur son set up sur ton bureau pour lancer l’installation.

Paramètre le comme indiqué ici :
http://speedweb1.free.fr/frames2.php?page=tuto5
ou la : https://www.malekal.com/avira-free-security-antivirus-gratuit/

Effectue sa mise a jour puis ferme ce programme pour l’instant.

4) Redémarre en mode sans échec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

Voir si besoin C) https://forum.pcastuces.com/sujet.asp?f=25&s=3902

5) Scan Antivirus et nettoyage avec Avira Antivir

Lance Avira antivir en faisant un click droit sur l’icône d’Antivir dans ta barre des taches en bas a droite puis « start Antivir »
Clique sur l’onglet « scanner » puis vérifie a RootKit search et Manuelle détection (en développant avec la petite croix devant chacun d'eux) que tous tes disques durs soient bien cochés, puis clique sur la loupe (en dessous de statut)
Une fenetre va s’ouvrir « Luke Filewalker » .. le scan va démarrer.
Mets tout ce qu il trouve en "quarantine"
Une fois le scan achevé, ferme les deux fenêtres d'Antivir et sauvegarde le rapport qui vient d'apparaître sur ton bureau..

6) Rapport

Redémarre en mode normal puis poste le rapport d'Antivir (que tu as sauvegardé sur ton bureau).

Tuto http://www.malekal.com/tutorial_antivir.html  et/ou  http://www.libellules.ch/tuto_antivir.php

@ suivre

paulo10 · Answer

RE je l'ai déja faite clique droit sur la barre des tache mais rien ne se passe!!!

sinon le problème c ke je suis abonné à avast et j'ai payé donc ca me fai chié de prendre un autre antivirus de suite! mais je vai attendre la fin de la licence avast!

mai je garde ton mail pour par la suite installer antivir

@+

Le sioux · Answer

Bonjour

Je ne savais pas que tu étais "abonné à avast "

Je comprends...tu verras donc cela une fois la license terminée.

Alors va dans panneau config (via demarrer)  puis dans ajouts et suppressions de programmes et descend a avst et clique supprimer
Une fenetre va s ouvrir et tu auras le choix de reparer ou supprimer..  --> repare ;-)  redemarre 

Et dis moi ..

@ suivre

paulo10 · Answer

RE  ba ok je regard ce soir! et je te redit ce qu'il en est!!

merci

Le sioux · Answer

re

Sinon, si cela ne fonctionnait pas il te faudra aller voir dans les services 

Demarrer / executer tapes services.msc

va voir les services d avast , 

Verifie qu ils soient sur demarré  --> Si ce n est pas le cas clique droit démarrer le service;

Verifie qu ils soient sur démarrage automatique  si ce n est pas le cas, clique droit / propriétés et a type de demarrage tu mets sur automatiques puis tu valides et ensuite ok.

(ceci pour X 4 Web scanner,Mail scanner,...)

Ensuite redémarre ton pc.

@ +

paulo10 · Answer

Voila, avast refonctionne j'ai plus de virus, mon pc fonctionne bien!!! 

Merci de m'avoir réparé mon pc!!!!

bonne continuation!!!!

Le sioux · Answer

Bonsoir Paulo 10

J aurai bien aimé te faire faire un scan en ligne pour vérification, mais tu as l air d avoir hate de me quitter ... ;-)

On conclue alors.

Lance OTMoveIt sur ton bureau puis clique sur Clean up ceci nettoiera les outils utilisés.

========================================================================= 

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis reactive la afin de créer un point de restauration sain. 

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela sioit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a noiuveau sur "surveillance" puis Ok. Redémarrer l'ordinateur.. 

========================================================================= 

Pour améliorer la sécurité de ton PC prend quelques instants pour lire 

Sécuriser son PC +WIFI (versions "hot" & "light") de Philae https://forum.pcastuces.com/default.asp 

Pense a installer un parefeu a la place de celui de windows qui ne vaut pas grand chose 
========================================================================= 

Autre conseils : 

--Comportement a adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html 

--Essaye le navigateur Firefox plus sur/securisé qu IE 
Firefox n utilise pas le dangereux protocole ActiveX 

Verifie tes mises a jours des differents softs regulierement ici http://secunia.com/software_inspector/ 
Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
Pour java, il te faut desintaller les anciennes versions de java via panneau de config / ajouts et suppression de programme apres avoir fait sa mise a jour. 

========================================================================= 

Dénonce ton infection pour faire condamner les auteurs. 

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection 

- Voir les règles du forum : https://malwarecomplaints.info/ 
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register" 
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age" 
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age" 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..). 
La tienne = Lop

---> https://malwarecomplaints.info/ 

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections 
conforme au règle du forum (age, ville, département etc..) 


Indique aussi le nom du Forum qui t'a aidé CCM 

========================================================================= 

Pour que ton pc retrouve un peu de jeunesse 

* Pense a lancer une petite defragmentation. 
* Utilise CCleaner regulierement. 
* Gere tes services grace a ces 2 liens 
http://speedweb1.free.fr/frames2.php?page=service3 et http://speedweb1.free.fr/frames2.php?page=service4 
* Utilise Zeb Utility 
une application ne necessitant pas dinstallation, pour optimiser un poil ton pc. (merci a l ami Zebulon) 
Telechargement : https://www.zebulon.fr/telechargements/utilitaires/optimisation/zeb-utility.html 
Tuto : https://www.zebulon.fr/dossiers/autres/58-zebutility.html 

========================================================================= 

Logiciels interressants a avoir 

=> Ad-aware SE (scan passif ) 
https://www.google.com ou http://www.lavasoft.de/support/download/#free 
Tutos : 
http://home.tiscali.be/schouppeguy/adawarese/adawase.htm 
démo 
http://pageperso.aol.fr/balltrap34/adwseflash.zip 
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf 

=> SpyBot-Search & Destroy 1.5 (scan passif + protection preventive avec ces 2 résidents, ses vaccinations et sa list Hosts ) 

https://www.safer-networking.org/download/ 

démo d utilisation 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm 
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ 
Tuto : 
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm 

=> a² free (anti-trojans) (scan passif ) 

- Téléchargement : https://www.emsisoft.com/fr/home/antimalware/ 
- Tuto : http://perso.orange.fr/jesses/Docs/Logiciels/a-squared.htm 

=> ZebProtect (application ne necessitant pas d installation) 

https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 
http://telechargement.zebulon.fr/123.html 

======================================================================== 

Salut, content d avoir pu t aider.

paulo10 · Answer

Bonjour, 
La nuit au taf ne fut pas trop longue?  non j'ai pas hâte de te quitter mais je pensai qu'on avait fini.

Je ferai ce que tu m'a dit dans le mail ci-dessus. pour que mon PC retrouve une deuxième jeunesse! 

Je te dirai ce qu'il en ait! 

Bonne journé 

Mais à tu apprit toute ces combines pour virer c'est virus?

Le sioux · Answer

Hello Paulo

La nuit est vite passée ;-)

Si tu n as pas hate de te sauver (c'était une pointe d'humour) je te ferais bien faire un scan en ligne pour simple verif :

Scan en ligne chez Bitdefender

* fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Tuto (merci Morgane)

http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

Poste en reponse le rapport de scan qui  se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html

Sinon, pour  " Mais à tu apprit toute ces combines pour virer c'est virus ?"  

Yes, j"ai appris, j apprends et j'ai encore beaucoup a apprendre ;-) et j'aime ça ! :-)  

Je me fais plaisir a aider benevolement les internautes dans "la panade" comme toi a l'arrivée ;-)  , je fais en sorte de leur donner un coup de main a nettoyer leurs pc et je tente de leur donner des conseils de preventions pour eviter les soucis a l avenir.
C est tellement mieux un pc qui fonctionne correctement ;-)

Transmets ce que tu as pu apprendre de cette experience autour de toi.

Tiens moi au courant si tu" as le courage" de faire le scan en ligne ;-)

@+

paulo10 · Answer

BONSOIR VOICI LE RAPPORT BITDEFENDER :

Bonne soiré!!! 



BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: __CRT_DATETIME__

 
	

 
	

 

Voie d'analyse: __SCANPATH__
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

__TIME__

Fichiers
	

__FILES__

Directoires
	

__FOLDERS__

Secteurs de boot
	

__BOOTS__

Archives
	

__ARCHIVES__

Paquets programmes
	

__PACKED__
	

 
	

 

Résultats

Virus identifiés
	

__VIRUSES__

Fichiers infectés
	

__INFFILES__

Fichiers suspects
	

__SUSFILES__

Avertissements
	

__WARNINGS__

Désinfectés
	

__DISINFECTED__

Fichiers effacés
	

__DELETED__
	

 
	

 

Info sur les moteurs

Définition virus
	

__VIRUSDEFS__

Version des moteurs
	

__ENGBUILD__

Analyse des plugins
	

__SCANPLUGINS__

Archive des plugins
	

__ARCHPLUGINS__

Unpack des plugins
	

__UNPACKPLUGINS__

E-mail plugins
	

__EMAILPLUGINS__

Système plugins
	

__SYSPLUGINS__
	

 
	

 

Paramètres d'analyse

Première action
	

__FIRSTACT__

Seconde Action
	

__SECACT__

Heuristique
	

__HEURISTICS__

Acceptez les avertissements
	

__ENABLEWARNINGS__

Extensions analysées
	

__EXT__

Excludez les extensions
	

__EXCLUDEEXT__

Analyse d'emails
	

__SCANEMAILS__

Analyse des Archives
	

__SCANARCHIVES__

Analyser paquets programmes
	

__SCANPACKED__

Analyse des fichiers
	

__SCANFILES__

Analyse de boot
	

__SCANBOOT__
	

 
	

 
  __SINGLEFILE__

Fichier analysé
	

 Statut

Le sioux · Answer

Bonsoir Paulo

Ok, bien joué. Tu peux attaquer la suite de mon message du vendredi 19 octobre 2007 à 00h31:09

Salut, bonnes lectures.

Virus win32: obfuscated-BPP et BPO!!!

37 réponses

Votre réponse

Discussions similaires

Newsletters