Infesté par l'infect spywaresecure_trial.... Résolu/Fermé

Question

Bonjour,

Depuis plusieurs semaines je suis au prise avec des ouvertures de fenêtres intempestives ( spywaresecure...). Pouvez-vous me dire si je peux me débrouiller seul en regardant uniquement les aides que vous avez déjà donné (je pense à élodie 074 le 17 déc, puisqu'elle a la même config VISTA que moi) ou bien me faut-il votre soutien pas à pas? Car j'ai l'impression qu'en vous fournissant le rapport HIJACK(?) vous personnalisez votre intervention?  
Un grand merci à vous tous qui portez une (ou deux, mais pas trois!!) oreilles attentives en ce début de soirée aux webonautes en herbes comme moi.

A plus.....

Utilisateur anonyme · Answer

Slt

Télécharge Navilog 1

Suit la procédure et poste moi le rapport.

a+

acielouvert · Answer

OK merci à toi pour ta super rapidité.....
Je fait de suite ce que tu me dis. A toute.

acielouvert · Answer

Voilà le rapport

Search Navipromo version 3.3.8 commencé le 21/12/2007 à 23:15:51,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16575 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

...\WebMediaPlayer trouvé !

*** Recherche dossiers dans c:\users
oues\appdataoaming\microsoft\windows\start menu\programs ***


*** Recherche dossiers dans C:\Users
oues\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users
oues\AppData\Roaming ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Users
oues\AppData\Local\ceokmshgp.dat
C:\Users
oues\AppData\Local\ceokmshgp.exe
C:\Users
oues\AppData\Local\ceokmshgp_nav.dat
C:\Users
oues\AppData\Local\ceokmshgp_navps.dat



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users
oues\AppData\Local\Microsoft *

* Recherche dans C:\Users
oues\AppData\Local *

Fichiers trouvés :

ceokmshgp.exe trouvé ! 
ceokmshgp.dat trouvé ! 
ceokmshgp_nav.dat trouvé ! 
ceokmshgp_navps.dat trouvé ! 
wovjnelqn.exe trouvé ! 
wovjnelqn.dat trouvé ! 
wovjnelqn_nav.dat trouvé ! 
wovjnelqn_navps.dat trouvé ! 



*** Recherche fichiers *** 


C:\Users\Public\Desktop\WebMediaPlayer.lnk trouvé ! 
C:\Windows\system32
vs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\Windows\system32 :

#  Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
# Aller dans démarrer puis panneau de configuration
# Double Cliquer sur l'icône "Comptes d'utilisateurs"
# Cliquer ensuite sur désactiver et valider.
# Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    * Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
    * Ensuite double cliquer sur navilog1.exe pour lancer l'installation.
    * Une fois l'installation terminée, Faire un clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir Exécuter en tant qu'administrateur
    * Arriver au menu principal, choisir l'option 1 et valider.
    * Patientez jusqu'au message : Analyse Termine le ...
    * Appuyer sur une touche, le blocnote s'ouvre, enregistrer le rapport manière à le retrouver.
    * Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%. ( Cf : Exemple d'un rapport contenant des fichiers infectés plus haut ). 

# De même que pour XP, une fois toutes les précautions prises :

    * Faire un clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".
    * Arriver au menu principal, choisir l'option 2 et valider.
    * Le fix demandera ensuite le redémarrer le PC, fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts, et appuyer sur une touche comme demandé.(si le Pc ne redémarre pas automatiquement, le faire manuellement)
    * Au redémarrage du PC, choisir la session habituelle si nécessaire.
    * Patienter jusqu'au message : Nettoyage Termine le ...
    * Sauvegarder le rapport de manière à le retrouver, puis fermer le blocnote, le bureau réapparaîtra

* Dans C:\Users
oues\AppData\Local\Microsoft :


* Dans C:\Users
oues\AppData\Local :

ceokmshgp.dat trouvé !
wovjnelqn.dat trouvé !
ceokmshgp_nav.dat trouvé !
wovjnelqn_nav.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 21/12/2007 à 23:24:42,35 ***

Utilisateur anonyme · Answer

Re

Ok t'est bien infecté !


Passe a l'option 2 en mode sans echec

Et poste moi le rapport.

Par contre c'est quoi ça : 


* Dans C:\Windows\system32 :

# Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
# Aller dans démarrer puis panneau de configuration
# Double Cliquer sur l'icône "Comptes d'utilisateurs"
# Cliquer ensuite sur désactiver et valider.
# Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
* Ensuite double cliquer sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, Faire un clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir Exécuter en tant qu'administrateur
* Arriver au menu principal, choisir l'option 1 et valider.
* Patientez jusqu'au message : Analyse Termine le ...
* Appuyer sur une touche, le blocnote s'ouvre, enregistrer le rapport manière à le retrouver.
* Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%. ( Cf : Exemple d'un rapport contenant des fichiers infectés plus haut ).

# De même que pour XP, une fois toutes les précautions prises :

* Faire un clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".
* Arriver au menu principal, choisir l'option 2 et valider.
* Le fix demandera ensuite le redémarrer le PC, fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts, et appuyer sur une touche comme demandé.(si le Pc ne redémarre pas automatiquement, le faire manuellement)
* Au redémarrage du PC, choisir la session habituelle si nécessaire.
* Patienter jusqu'au message : Nettoyage Termine le ...
* Sauvegarder le rapport de manière à le retrouver, puis fermer le blocnote, le bureau réapparaîtra
 

???

a+

acielouvert · Answer

OK message reçu.

Le surplus, c'est une manip de ma part(?) qui a surajouté ce passage que j'ai sorti sur l'imprimante afin d'avoir le texte indiquant les instructions à faire. Ne me demande pas comment je l'ai rajouté????????????

A+

acielouvert · Answer

Dis-moi, le mode sans échec qui s'ouvre sur le lien que tu me donnes est pour windows XP. Je suis en vista. Dis-moi s'il te plait comment continuer??

acielouvert · Answer

Es-tu toujours là cyrildu 17?

Peut-être est-tu très fatigué car j'ai vu que tu es sur le forum depuis cette après-midi!

Peux-tu me dire si tu continues le partage ce soir ou bien si tu l'arrêtes?

Utilisateur anonyme · Answer

Re mais pas pour longtemps

Oui pour le mode sans echec c'est la meme manip sur xp et vista ^^

a+

acielouvert · Answer

OK je m'y mets direct et au + vite..

acielouvert · Answer

Bon désolé mais j'ai fermé deux fois de suite l'ordi. Et après la barre de progression (avec marqué microsoft corporation juste en dessous) (le BIOS je suppose), j'ai appuyé sur F8 ou F5 et rien! Faut'il appuyer plusieurs fois ou continuellement?

Je n'ai d'ailleurs pas forcément cette barre au démarrage.

Vu l'heure, veux-tu bien reprendre demain à une autre heure? Et si oui, dis moi si tu sais quand tu reviendras sur le site?

acielouvert · Answer

OK un grand merci à toi et demain, je me reconnecte vers 13h en espérant terminer ça rapidement.

A dem.

Utilisateur anonyme · Answer

Re

Pour le mode sans echec  , il faut tapoter f8 tout le long du démarrage jusqu'à apparition de l'écran de choix de démarrage. 

voila a+

acielouvert · Answer

SALUT 

Merci d'avoir repris le contact.

Je viens seulement d'arriver à faire apparaitre le choix "mode sans échec". J'ai donc réussi à ouvrir mon bureau et à continuer la procédure. Voilà le rapport:


Clean Navipromo version 3.3.8 commencé le 22/12/2007 à 13:35:45,28

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16575
Système de fichiers : NTFS

Mode suppression automatique 


Executé en mode sans échec

*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"

Copie C:\Users
oues\AppData\Local\ceokmshgp.dat réalisée avec succès ! 
Copie C:\Users
oues\AppData\Local\ceokmshgp.exe réalisée avec succès ! 
Copie C:\Users
oues\AppData\Local\ceokmshgp_nav.dat réalisée avec succès ! 
Copie C:\Users
oues\AppData\Local\ceokmshgp_navps.dat réalisée avec succès ! 

*** Suppression des fichiers trouvés avec Catchme ***

C:\Users
oues\AppData\Local\ceokmshgp.dat supprimé ! 
C:\Users
oues\AppData\Local\ceokmshgp.exe supprimé ! 
C:\Users
oues\AppData\Local\ceokmshgp_nav.dat supprimé ! 
C:\Users
oues\AppData\Local\ceokmshgp_navps.dat supprimé ! 
 
** 2ème passage avec résultats Catchme ** 

* Dans C:\Windows\system32 *


* Dans C:\Users
oues\AppData\Local\Microsoft *




*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\Windows\System32 *


* Suppression dans C:\Users
oues\AppData\Local\Microsoft *


* Suppression dans C:\Users
oues\AppData\Local *

wovjnelqn.exe trouvé !
Copie wovjnelqn.exe réalisée avec succès !
wovjnelqn.exe supprimé !

wovjnelqn.dat trouvé !
Copie wovjnelqn.dat réalisée avec succès !
wovjnelqn.dat supprimé !

wovjnelqn_nav.dat trouvé !
Copie wovjnelqn_nav.dat réalisée avec succès !
wovjnelqn_nav.dat supprimé !

wovjnelqn_navps.dat trouvé !
Copie wovjnelqn_navps.dat réalisée avec succès !
wovjnelqn_navps.dat supprimé !



*** Suppression dossiers dans C:\Windows ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression... 
C:\Program Files\WebMediaPlayer supprimé ! 


*** Suppression dossiers dans C:\ProgramData ***


*** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

...\WebMediaPlayer ...suppression... 
...\WebMediaPlayer supprimé ! 


*** Suppression dossiers dans c:\users
oues\appdataoaming\microsoft\windows\start menu\programs ***


*** Suppression dossiers dans C:\Users
oues\AppData\Local\virtualstore\Program Files ***


*** Suppression dossiers dans C:\Users
oues\AppData\Roaming ***



*** Suppression fichiers ***

C:\Users\Public\Desktop\WebMediaPlayer.lnk supprimé !
C:\Windows\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users
oues\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\Windows\system32 *


* Dans C:\Users
oues\AppData\Local\Microsoft *




*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 22/12/2007 à 13:37:38,90 ***

acielouvert · Answer

Si le nettoyage a bien fonctionné comme ça en en l'air, me faut-il supprimer webmediaplayer que j'ai récupéré sur internet il y a quelques temps?

acielouvert · Answer

re

Es-tu toujours connecté?

Utilisateur anonyme · Answer

Re , ok pour le rapport , ou en sont tes problemes ?

Pour webmediaplayer je me renseigne

a+

acielouvert · Answer

Pour l'instant je n'ai pas ou plus de fenêtres intempestives. A conf quand même. Mais bon, ça a l'air d'aller.

Merci pour webmediaplayer. J'attends donc ta réponse.

Par contre j'aurai bien une dernière demande à te faire si jamais tu voulais bien, ça m'aiderai. C'est simple. J'ai récupéré AVAST version familiale il y a 15 jours et je n'arrive pas à me dégager de NORTON ANTI-virus, qui est arrivé à expiration mais qui s'accroche quand même. En allant dans "programmes" du lecteur C, quand je choisis de le supprimer,  on me demande une autorisation. Or, je ne suis pas trop sûr de comment m'en dégager. Peux-tu me filer un coup de main (pas une taloche! bien sûr) car je le suspecte de ralentir mon ordi couplé avec AVAST. D'ailleurs, aurais-tu quelques trucs à préconiser pour améliorer encore l'anti-virus (voir un autre anti-virus)?.

A toute.

Utilisateur anonyme · Answer

Re

Pour désinstaller proprement norton c'est par ici 

Tout y est expliqué , Et sinon garder avast est une bonne chose , c'est quand meme le meilleur anti-virus gratuit.

Pour webmedia player je viens de me rendre compte qu'il a été supprimé par navilog :

*** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !


Donc voila ^^

a+

acielouvert · Answer

Bien vu gaston!!!

Je m'en vais me charger du norton. Te tiens au courant.

Utilisateur anonyme · Answer

Ok

a+

acielouvert · Answer

GALÊRE!!

J'ai suivi la procédure indiquée. J'ai désactivé 5 services mais dans les processus je n'ai rien trouvé!! Je me demande si c'est normal?
J'ai désactivé aussi 2 "lignes" symantec dans msconfig au niveau de l'onglet "démarrage". Bref ça se passe pas trop mal. Mais quand je vais dans le menu démarrage et disque dur C, quand je clic droit sur norton ou symantec il finit par me demander une autorisation. 

J'ai envie de l'étriper!!!!!!!!!!!!!!!!!

Comment faire STP???

Utilisateur anonyme · Answer

Ok poste un rapport Hijack this.

C'est c'est normal que tu ne le trouve pas dans les processus puisque avec hijack this t'as du fixer des lignes de norton qui le bloque au démarrage( comme conseillé dans le lien).

acielouvert · Answer

Au risque de passer pour le plouc que je suis, comment je génère un rapport HIJACK this?

Utilisateur anonyme · Answer

Ah ok , c'est que ta pas lut entierement le lien que je t'ai passé ^^

Télécharge   hijack this 

Fait ' do a system scan and save a logfile ' 

Et poste moi le rapport

a+

acielouvert · Answer

Ok le voilà!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:42, on 22/12/2007
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Windows\system32	askeng.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\FinePixViewer\QuickDCF2.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\sdclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar	oolband.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar	oolband.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HControl] C:\Windows\ATK0100\HControl.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: lxcr_device -   - C:\Windows\system32\lxcrcoms.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

Utilisateur anonyme · Answer

Re

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll 


Fixe ces ligne en mode sans echec

a+

acielouvert · Answer

OK Merci pour ton aide.

Malheureusement  ou heureusement, je pars au resto ce soir. Donc, a dem pour de nouvelles aventures. Je ferai la manip ce soir en rentrant.

Bonne soirée et dis-moi stp si tu es là demain et vers quelle heure?

Tchâo.

Utilisateur anonyme · Answer

Euu demain c'est soit le matin ou le soir vers 19 h parce que je suit pas la de l'aprem.

A+

acielouvert · Answer

Salut,

J'espère que tu vas bien.

Fais-moi signe quand tu te logues. Je ne suis pas sûr de ce que veut dire "fixer" ces lignes. Je comprends "sélectionner" ces lignes??
Mais une fois qu'elles sont sélectionnées, qu'est-ce que je fais. Peux-tu éclairer ma lanterne dans ma nuit informatique. 

A+

acielouvert · Answer

Ok c'est bon j'avais finalement trouvé. J'ai donc fixé les ligneset les ai supprimée. Je suis retourné dans services.msc et les lignes symantec étaient déjà désactivées. J'ai ouvert ensuite le gestionnaire des tâches mais dans "processus" aucune ligne correspondant aux processus à terminer. Est-ce normal? 

Mon problème est l'autorisation demandée lors de la suppression de norton. Cette autorisation n'est elle pas étrangère à toutes ces manip.  Ne dois-je pas aller voir dans les propriétés lorsque je clic droit dans C/programm files/norton securite internet. Là il parle des autorisations. Qu'en penses-tu?

Utilisateur anonyme · Answer

Sinon norton tu l'avais bien désinstallé  ? comme expliqué dans le lien ?

a+

acielouvert · Answer

J'avais effectivement bien sup les entrées dans msconfig, puis dans panneau de config, désinstaller norton et symantec mais c'est dans C/programmes/norton ou symantec que là il me demande une autorisation. D'ailleurs, dans la méthode que tu m'as donné par lien pour sup norton, au 5ième paragraphe ils disent bien d'avoir les pouvoirs"administrateurs". Je pense les avoirs mais n'en suis pas sûr. Cela expliquerai ceci.

Utilisateur anonyme · Answer

On va vérifier , vas panneau de configuration -> compte d'utilisateurs et protection des utilisateurs -> comptes d'utilisateurs -> tu regarde a droite le type de compte que tu as.

a+

acielouvert · Answer

C'est un comte administrateur!

acielouvert · Answer

J'AI une info intéressante. Je viens d'essayer à nouveau de supprimer symantec et norton dans programme (C/) et j'ai réussi à virer symantec! Reste norton qui demande toujours une autorisation. Apparemment le fait d'avoir fixer des lignes en mode sans échec a eu un résultat positif. Y aurait-il d'autres lignes concernat norton qui n'ont pas été virées?

Utilisateur anonyme · Answer

Hum reposte un rapport hijack this stp on va voir

a+

acielouvert · Answer

J'vais finir pro comme toi bientôt!

Le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:29:16, on 23/12/2007
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\FinePixViewer\QuickDCF2.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar	oolband.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar	oolband.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HControl] C:\Windows\ATK0100\HControl.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: lxcr_device -   - C:\Windows\system32\lxcrcoms.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

Utilisateur anonyme · Answer

Arf je suis loin d'être pro ^^

Bon sur ton rapport aucune trace de norton.

L'erreur que tu décrit est peut-être causée par un problème de registre.

Pour cela va dans ordinateur ,clic droit sur le disque dur  /c: , propriété , vas dans l'onglet '' outil " et clic sur vérification des erreurs , vérifier les erreurs. Il va d'indiquer que cela prendra effet au redémarrage.

ensuite presse la touche windows+r , cela ouvre la commande '' executer " tape dans le champs de recherche "" regedit" cela ouvre le registre.

Déploie la ligne HKEY_CURRENT_USER puis SOFTWARE , cherche les dossiers ou les ligne ayant un rapport avec norton ou symantec

 /!\ SEULEMENT ELLES /!\ et suppriment-les.

Ces opérations sont à faire en mode sans echec.

Une fois tout cela fait redémarre et voit si tu peux éffacer le dossiers norton. 

a+

acielouvert · Answer

OK j'y vais 
A toute

acielouvert · Answer

J'ai supprimé au moins une quinzaine de lignes (sous mode sans échec) mais pas dans "HKEY_CURRENT_USER" (car je n'ai rien trouvé à "software", mais à "HKEY_CURRENT_ROOT" (je crois: la première ligne avant USER). Il y avait au moins 15 lignes norton ou symantec. J'ai éteint l'ordinateur juste après, l'ai rallumé et ai ré-essayer de virer norton dans C/programme, et CE "..." IL NE VEUT RIEN SAVOIR!!!!!!
Je pense lui avoir coupé la tête quand même. Ce n'est peut-être pas la peine d'insister car il ne doit pas rester grand chose de lui, non?
Qu'en penses-tu???
A tout de suite.

Utilisateur anonyme · Answer

Ok on vas l'achever , Télécharge OTMoveIt 

Une fois téléchargé double clic dessus , dans le cadre en dessous de "Paste List of Files/Folders"  il faut indiquer le chemin du dossier norton récalcitrant.

Syntaxe :    C:\Program Files
om du dossier norton et éventuellement symantec

Puis clique sur "Moveit !"  , le résultat sera affiché dans le cadre "Results"

Fait le en mode sans echec au cas ou un service lancé qu'on aurait pas vu empecherer la suppression.

a+

acielouvert · Answer

OK man, on envoie l'artillerie lourde. Ca va décoiffer.
Te rappelle............

acielouvert · Answer

YYYYYOOOOUUUUUUUUUUUUUUUUUHHHHHHHHHHHHHHHHOOOOUUUUUUUUUUU!!!!!!!!!!!!

C'est BON l'expert!!!!!! Avec OTMOVEIT, il a flairé le danger et il est parti aussi sec vers d'autres horizons. 

Dis-moi, avec MOVEIT, je peux dégager d'autres trucs aussi facilement ou pas (en prenant toutes précautions bien sûr)?

Merci en tout cas et bravo  pour ta ténacité. On aura mis trois jour mais c'est bon quand on va au bout des choses. J'apprécie ton  état d'esprit. Franchement c'est génial, d'être capable de finir ce que l'on commence.

A+

Utilisateur anonyme · Answer

ENfin ! :D

Ouais OtMoveIt supprime n'importe quel dossier , le tout est d'indiquer certains emplacement en anglais ex :  

Programmes = Non
Program files = oui

Utilisateurs = non
Users = oui

C'est a peu prés tout niveau anglais , à utiliser sur des dossiers tenaces ( et indesirables) avec précaution tout de même , les fichiers supprimés ne peuvent pas être restaurés ! 
( se serait bête de supprimer tout ton dossier perso xD )

Voila voila ^^

N'oublis pas de mettre résolue ^^

a+

acielouvert · Answer

OK bien compris et je te renouvelle mes remerciements.

Joyeuses fêtes à toi et à ton entourage.

J'aimerais bien te dire à bientôt, mais c'est comme chez le médecin, mieux vaut éviter.
Salut PAC MAN.

Utilisateur anonyme · Answer

Lol ! 

Bonnes fêtes a toi aussi !

Utilisateur anonyme · Answer

Rectification : 

Les données supprimées par OTMovIt  peuvent être restaurées via le dossier Backup a la racine du disque.

a+

Infesté par l'infect spywaresecure_trial....

47 réponses

Discussions similaires