Sujet Précédent Sujet Suivant

Messengerskinner.rtk - Comment le supprimer ?

Résolu/Fermé
Utilisateur anonyme - 20 janv. 2008 à 17:16
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 - 11 mai 2008 à 21:04
Bonjour,
J'ai installé spybot search & destroy et celui-ci a détecté la presence de messengerskinner.rtk, mais impossible de le supprimer.
Je suis sous windows vista et le fichier affecté est C:\Windows\System32\nvs2.inf .
En consultant le forum, j'ai cru comprendre qu'il fallait d'abord creer un rapport avec Navilog1 et le sousmettre à des spécialiste avant de continuer.
C'est ce que j'ai fait. Mais bizarre ! Il semblerait que l'anayse bloque au niveau de *** Recherche avec GenericNaviSearch *** (plusieurs heures d'attente et rien ne se passe...

Est-ce normal ?

Merci par avance pour votre aide
Nathalie

Voici le rapport :

Creation de la liste des programmes installes

Veuillez patienter

C:\unpffc02.txtLe fichier sp'cifi' est introuvable.
Impossible de trouver C:\unpffc02.txt
Search Navipromo version 3.4.0 commence le 20/01/2008 a 16:24:04,34

!!! Attention,ce rapport peut indiquer des fichiers/programmes legitimes !!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie desinfection sans l'avis d'un specialiste !!!




*** Recherche programmes installes ***

Veuillez patienter


Recherche terminee


*** Recherche dossiers dans C:\Windows ***

Veuillez patienter

Recherche terminee


*** Recherche dossiers dans C:\Program Files ***

Veuillez patienter

Recherche terminee


*** Recherche dossiers dans C:\ProgramData ***

Veuillez patienter

Recherche terminee


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs
***

Veuillez patienter

Recherche terminee


*** Recherche dossiers dans C:\Users\Nathalie\AppData\Roaming\MICROS~1\Windows\S
TARTM~1\Programs ***

Veuillez patienter

Recherche terminee


*** Recherche dossiers dans C:\Users\Nathalie\AppData\Local\virtualstore\Program
Files ***

Veuillez patienter

Recherche terminee


*** Recherche dossiers dans C:\Users\Nathalie\AppData\Roaming ***

Veuillez patienter

Recherche terminee

Recherche terminee


*** Recherche avec Catchme par gmer ***
pour + d'infos : http://www.gmer.net

Veuillez patienter ... Le scan peut durer une dizaine de minutes ...

C:\Users\Nathalie\AppData\Local\dxypgimdsg_nav.dat
C:\Users\Nathalie\AppData\Local\dxypgimdsg.dat
C:\Users\Nathalie\AppData\Local\dxypgimdsg.exe
C:\Users\Nathalie\AppData\Local\dxypgimdsg_nav.dat
C:\Users\Nathalie\AppData\Local\dxypgimdsg_navps.dat

*** Recherche avec GenericNaviSearch ***

Veuillez patienter
A voir également:

46 réponses

Réponse 1 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
20 janv. 2008 à 17:34
Bonjour,

1) Refais la manip de cette façon, stp (pour Navilog1)

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, fais le choix 1
Laisse-toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc-notes va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le bloc-notes


2) Télécharge HijackThis ici:

http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

Clique sur "Do a system scan and save a logfile".. Copie et colle le rapport obtenu sur le forum.

Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Clic droit sur l'icône de HJT
L'exécuter en tant qu'administrateur


Reviens avec le rapport de Navilog1 ainsi qu'un log hijackthis.

A te lire
0
space cybil Messages postés 1 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 3 avril 2008
3 avril 2008 à 15:09
bonjour, moi aussi j'ai le même problème avec ce maudit messengerskinner.rtk, donc j'ai téléchargé navilog1 fais tous ce qui est ùarqué et donc j'en suis la

Search Navipromo version 3.5.2 commencé le 03/04/2008 à 14:42:33,64

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Cyril et Bettina"

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\InternetGameBox trouvé !

*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Recherche dossiers dans c:\users\cyril et bettina\appdata\roaming\microsoft\windows\start menu\programs ***


*** Recherche dossiers dans C:\Users\Cyril et Bettina\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users\Cyril et Bettina\AppData\Roaming ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Users\Cyril et Bettina\AppData\Local\lxeerrel.dat
C:\Users\Cyril et Bettina\AppData\Local\lxeerrel.exe
C:\Users\Cyril et Bettina\AppData\Local\lxeerrel_nav.dat
C:\Users\Cyril et Bettina\AppData\Local\lxeerrel_navps.dat



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\Cyril et Bettina\AppData\Local\Microsoft *

* Recherche dans C:\Users\Cyril et Bettina\AppData\Local\virtualstore\windows\system32 *

* Recherche dans C:\Users\Cyril et Bettina\AppData\Local *

Fichiers suspects :

lxeerrel.exe trouvé !



*** Recherche fichiers ***


C:\Windows\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\Windows\system32 :


* Dans C:\Users\Cyril et Bettina\AppData\Local\Microsoft :


* Dans C:\Users\Cyril et Bettina\AppData\Local\virtualstore\windows\system32 :


* Dans C:\Users\Cyril et Bettina\AppData\Local :

lxeerrel.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 03/04/2008 à 14:48:51,72 ***


donc si quelq'un now pouvait m'expliquait la suite,
merki d'avance .
0
Réponse 2 / 46
Utilisateur anonyme
20 janv. 2008 à 18:00
Bonsoir et merci pour ton aide rapide.
Pour la désactivation des comptes utilisateurs : j'ai déjà fait la manip
J'ai également executer Navilog1 en tant qu'administrateur et ai refait la
manip plusieurs fois et toujours le même résultat !
Je ne sais plus quoi faire

Quant l'autre rapport, voici ce que j'obtiens :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:04, on 20/01/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\SysMonitor.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\VM_STI.EXE
C:\Windows\System32\qttask.exe
C:\Program Files\epson\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\p2phost.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Microsoft Office\Office12\EXCEL.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program
Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -
C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common
Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program
Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows
Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor]
C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE
C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\Windows\VM_STI.EXE Philips SPC 200NC PC
Camera
O4 - HKLM\..\Run: [QuickTime Task] C:\Windows\System32\qttask.exe
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity
Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common
Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &
Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media
Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"
/background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows
Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe
oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows
Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program
Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program
Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown
owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown
owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file
missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. -
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel
32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service
(LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common
Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown
owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer
Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools -
C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools -
C:\Program Files\Spyware Doctor\pctsSvc.exe
0
Réponse 3 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
20 janv. 2008 à 18:43
Bonsoir craquinette,

Il me semble que Spyware Doctor et Windows Defender font double emploi, sauf erreur. Je serais toi, je désinstallerais Spyware Doctor.

Ok pour Navilog1

1) Navilog1

Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Fais un clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".

Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton PC ne redémarre pas automatiquement, fais-le toi-même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaître
Réactive le contrôle des comptes utilisateurs (UAC)

PS : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela fera apparaître ton bureau

2) * Télécharge clean.zip (merci Malekal).

http://www.malekal.com/download/clean.zip

* Dézippe-le sur le bureau.
* Ouvre le dossier jaune nommé clean sur ton bureau.
* Double-clique sur clean.cmd
* Choisis l'option 1 et copie sur le bureau le rapport généré. Il doit normalement aussi se trouver là : c:\rapport_clean.txt
* Clique sur Q pour quitter le programme.

3) Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Clic droit sur l'icône de HJT
L'exécuter en tant qu'administrateur

Relance hijackthis pour un scan seulement (Do a system scan only) et coche hors connexion Internet et toutes fenêtres fermées, sauf hijackthis :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] C:\Windows\System32\qttask.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

Clique sur "Fix checked" ("Fixer objet") hors connexion.

4) Scan en ligne

Il faut :

-désactiver le "mode protégé" d'IE par outils>options internet>sécurité.
-décocher la case > redémarrer le navigateur, aller sur le site kaspersky.

Assure-toi que les contrôles active x soient bien configurés dans les options internet comme décrit sur ce lien=> http://www.inoculer.com/activex.php3

Fais un scan en ligne avec https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

On va te demander de télécharger un ou deux contrôles active x, accepte . Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .
Le scan va commencer.Poste le rapport qui sera généré stp.

Aide en cas de problème : http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

NOTE: le scan est à faire avec Internet Explorer

Reviens avec le rapport de Navilog1 (choix2), le rapport de clean, celui de Kaspersky ainsi qu'un nouveau log hijackthis.

A te lire
0
Réponse 4 / 46
Utilisateur anonyme
22 janv. 2008 à 20:13
Bonsoir Lineve

J'ai suivi tes conseils et après avoir ramer un peu, voilà les résultats :
Ton aide m'a été précieuse !J'observe déjà les changements. Rapidité et fini les pubilicités intempestives.
Mais peut-être y-a-til d'autres manipulations à faire ???
Je te souhaite une bonne soirée
Nathalie

***************************************************************************************************************
22/01/2008 a 6:44:46,53

*** Recherche C:

*** Recherche C:\Windows\

*** Recherche C:\Windows\system32
C:\Windows\system32\wininit.exe FOUND
C:\Windows\system32\wininit.exe FOUND
***************************************************************************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:06:15, on 22/01/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
23 janv. 2008 à 12:22
Bonjour,

1) Tu as fait une erreur pour le fix des lignes dans hijackthis. Tu n'as même plus d'antivirus au démarrage.

Restaure les lignes et nous verrons ensuite.

Lance hijackthis (avec un clic droit)--->clic sur le troisième onglet à gauche "View the list of backups"--->Onglet "Backups"--->cocher toutes les lignes----> Cliquer sur "Restore" à droite.

2) Clean de Malekal :

# Redémarre en mode sans échec. Pour cela : au démarrage du PC, tapote sur F8 (ou F5). Ton PC démarre, mais sans accès à Internet.
# Ouvre le dossier jaune nommé clean sur ton bureau.
# Double-clique sur clean.cmd
# Choisis l'option 2 et copie sur le bureau le rapport généré.
# Si une fenêtre s'ouvre, laisse-la.
# Clique sur Q pour quitter le programme.
# Redémarre normalement.

Reviens avec le rapport de clean, celui de Navilog1 (choix2) ainsi qu'un nouveau log hijackthis.

A te lire
0
Réponse 6 / 46
Utilisateur anonyme
23 janv. 2008 à 21:15
Bonsoir Lineve

Aille, aille, aille. Effectivement, j'ai un peu raté la manupulation.

J'ai suivi tes conseils en effectuant la restauration sur Hijackthis.

Et ci-dessous, les 2 rapports demandés

Au plaisir de te lire

Script executed in Safe Mode
Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode 23/01/2008 a 20:53:25,05

Microsoft Windows [version 6.0.6000]

*** Suppression C:

*** Suppression C:\Windows\

*** Suppression C:\Windows\system32
tentative de suppression de C:\Windows\system32\wininit.exe
Impossible de supprimer C:\Windows\system32\wininit.exe
tentative de suppression de C:\Windows\system32\wininit.exe
Impossible de supprimer C:\Windows\system32\wininit.exe
***************************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:06:15, on 22/01/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
0
Réponse 7 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
24 janv. 2008 à 17:11
Bonjour,

Tu n'as pas tout restauré.

Regarde ton post2 et tu verras qu'il manque encore des lignes.

Recommence l'opération.

A bientôt

Edit : tu m'as posté le même log hijackthis qu'au post 4 !
Coche toutes les lignes dans les backups de hijackthis et clique sur "Restore"

Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Clic droit sur l'icône de HJT
L'exécuter en tant qu'administrateur
0
Réponse 8 / 46
Utilisateur anonyme
24 janv. 2008 à 19:21
Bonsoir Lineve,

Lorsque je recommence la manipulation, il reste une seule case à cocher (ai-je fais une bêtise, car tu me parles de plusieurs lignes manquantes !) et impossible de faire la restauration de cette ligne manquante.

J'obtiens le message d'erreur suivant

Que dois-je faire ?

Merci et bonne soirée
Nathalie


HackThis
Please help us improve HijackThis by reporting this error
Click Ves to submit
Error Details
An unexpected error has occurred at procedure
modBackup_RestoreBackup(sltem=09- Extra Tools menuitem: Spybot
- Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA.-1\SPYBOT.-1\SDHelper.dll)
Error $62 - Input past end of file
Windows version: Windows NT 6.001904
MSIE version: 7.0.600016575
HijackThis version: 2.02
Oui Non I
T Up1o1 tnTrendSecur
0
Réponse 9 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
24 janv. 2008 à 20:48
RE,

Je me renseigne au sujet de cette restauration.
Il y a beaucoup plus d'une ligne à restaurer.

A bientôt !
0
Réponse 10 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
25 janv. 2008 à 13:13
Bonjour,

Nous allons vérifier d'abord que tu as toujours :

C:\Windows\system32\wininit.exe

dans ta machine.

Pour cela :

Clique sur Démarrer/Ordinateur. Tape sur la touche Alt pour afficher la barre d’outils en haut de la page , clique sur Outils/Options des dossiers et ouvre l’onglet Affichage. Là, décoche les cases :
>Masquer les extensions des fichiers dont le type est connu
>Masquer les fichiers protégés du système d’exploitation

Vérifie dans l'explorateur que :

C:\Windows\system32\wininit.exe est toujours présent.

Pour les fichiers cachés, fais l'opération inverse.

En ce qui concerne hijackthis, nous verrons après.

Donc, dis-moi si tu trouves "wininit.exe" dans "system32".

A bientôt

@+
0
Réponse 11 / 46
Utilisateur anonyme
25 janv. 2008 à 18:27
Bonsoir Liveve,

"winit.exe" dans "system32"' est bien présent !

Dans l'attente de te lire
Nathalie
0
Réponse 12 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
25 janv. 2008 à 18:53
Bonsoir Nathalie,

Bon, c'est OK pour le fichier.

Quant aux lignes dans hijackthis, j'attends des renseignements. J'ai déjà eu des avis mais j'avoue que je dois encore réfléchir. (je n'ai jamais été confrontée à ce problème).

Ne t'inquiète pas, je ne t'oublie pas.
Comment va ton PC?

A plus tard
0
Réponse 13 / 46
Utilisateur anonyme
25 janv. 2008 à 19:57
Re,

Je ne m'inquiéte pas. Prends ton temps.
Grace à toi, mon PC fonctionne à merveille. Un vrai bonheur !!!!!!!!!!!!!!!!!!!
Je suis vraiment ravie
A plus tard et bonne soirée
Nathalie
0
Réponse 14 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
25 janv. 2008 à 22:45
Bonsoir Nathalie,

Tu es satisfaite par ton PC. Pourtant, tu n'as ni antivirus résident (Avast), ni "Windows Defender". En outre, il te manque beaucoup de processus...

Je te propose une restauration système.

D'abord, fais une sauvegarde du registre avec le logiciel ERUNT :

http://speedweb1.free.fr/frames2.php?page=outils2
ou
http://www.vista-xp.fr/forum/topic77.html

Ensuite, fais la manip décrite dans ce lien :

http://www.libellules.ch/restauration_systeme.php

Tu verras une sorte de calendrier avec des jours en bleu. Il faut regarder les jours en bleu/gras. Si tu as un point le 20 janvier, ce serait bien. Si tu n'as rien le 20, prends un point peu avant cette date mais, évidemment, nous allons retrouver Navipromo et sûrement d'autres bestioles.

Il faudra recommencer la désinfection.

J'espère que la restauration va fonctionner.

Si ça marche, reviens avec un rapport hijackthis pour que l'on voie si tout est normal.
Pour le hijackthis, n'oublie pas ceci :
.
Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Clic droit sur l'icône de HJT
L'exécuter en tant qu'administrateur

Une dernière chose :
lance Spybot ---->en haut, tu as un onglet "Mode". Clique dessus et choisis "mode avancé" . Ensuite, clique sur "outils" en bas à gauche ---->clique sur "résident" en haut et là, tu coches les deux cases "résident"

A plus tard !
0
Réponse 15 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
26 janv. 2008 à 11:53
...sinon, on peut faire une manip pour que tu retrouves les lignes 04 dont tu as absolument besoin (Antivirus...)

@+
0
Réponse 16 / 46
Utilisateur anonyme
26 janv. 2008 à 13:08
Bonjour Liveve
OK pour cette option
J'attends tes instructions...
Merci encore
Nathalie
0
Réponse 17 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
26 janv. 2008 à 14:25
Bonjour Nathalie,

Alors voici la manip :

Fais une sauvegarde du registre avec ERUNT avant. (comme je te l'ai mentionné plus haut). C'est vite fait.

1) Création de Fix.reg

Crée un nouveau document texte :

Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :


Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
"StartCCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe\""
"Sidebar"="\"C:\\Program Files\\Windows Sidebar\\sidebar.exe /autoRun\""
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\""
"WMPNSCFG"="\"C:\\Program Files\\Windows Media
Player\\WMPNSCFG.exe\""
"CollaborationHost"="\"C:\\Windows\\system32\\p2phost.exe\""
"ehTray.exe"="\"C:\\Windows\\ehome\\ehTray.exe\""
"SpybotSD TeaTimer"="\"C:\\Program Files\\Spybot - Search &
Destroy\\TeaTimer.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="\"C:\Windows\system32\nvsvc.dll\""
"NvMediaCenter"="\"C:\Windows\system32\NvMcTray.dll\""
"RtHDVCplC"="\"C\\WINDOWS\\RtHDVCpl.exe\""
"Acer Empowering Technology Monitor"="\"C:\\Windows\\system32\\SysMonitor.exe\""
"WarReg_PopUp"="\"C:\\Acer\\WR_PopUp\\WarReg_PopUp.exe\""
"avast"="\"C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe\""
"BigDogPath"="\"C:\\Windows\\VM_STI.EXE\""
"EEventManager"="\"C:\\Program Files\\EPSON\\Creativity
Suite\\Event Manager\\EEventManager.exe\""
"Windows Defender"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,\
00,69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,53,\
00,41,00,53,00,43,00,75,00,69,00,2e,00,65,00,78,00,65,00,20,00,2d,00,68,00,\
69,00,64,00,65,00,00,00
"AVP"="\"C:\\Program Files\\Active Virus Shield\\avp.exe\""
"00PCTFW"="\"C:\\Program Files\\PC Tools Firewall Plus\\FirewallGUI.exe\" -s""
"Windows Defender"="\" %ProgramFiles%\\Windows
Defender\\MSASCui.exe\""

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,\
6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,\
00,53,00,69,00,64,00,65,00,62,00,61,00,72,00,5c,00,53,00,69,00,64,00,65,00,\
62,00,61,00,72,00,2e,00,65,00,78,00,65,00,20,00,2f,00,64,00,65,00,74,00,65,\
00,63,00,74,00,4d,00,65,00,6d,00,00,00
"WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,\
6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,\
00,53,00,69,00,64,00,65,00,62,00,61,00,72,00,5c,00,53,00,69,00,64,00,65,00,\
62,00,61,00,72,00,2e,00,65,00,78,00,65,00,20,00,2f,00,64,00,65,00,74,00,65,\
00,63,00,74,00,4d,00,65,00,6d,00,00,00


Puis "fichier"/"enregistrer sous" :
dans : sur le Bureau
Nom du fichier : Fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fais bien attention que "Windows Registry Editor Version 5.00" soit sur la toute 1ere ligne, dans le côté supérieur gauche.

2 ) Utilisation du Fix.reg

Double clique sur regfix.reg (que tu as créé sur ton bureau) . Pour Vista, fais un clic droit--->Exécuter en tant qu'administrateur.

=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

---> Fais redémarrer ton PC et poste un nouveau rapport HijackThis en réponse.

Pour le hijackthis, rappel :

Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Clic droit sur l'icône de HJT
L'exécuter en tant qu'administrateur


Bon courage !
0
Réponse 18 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
26 janv. 2008 à 16:48
Nathalie, stop !

J'espère que tu n'as pas exécuté le fix. On me dit qu'il y a des lignes qui ne vont pas.

Il faut enlever :

"AVP"="\"C:\\Program Files\\Active Virus Shield\\avp.exe\""
"00PCTFW"="\"C:\\Program Files\\PC Tools Firewall Plus\\FirewallGUI.exe\" -s""
et
"StartCCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe\""

ce qui donne :

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
"Sidebar"="\"C:\\Program Files\\Windows Sidebar\\sidebar.exe /autoRun\""
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\""
"WMPNSCFG"="\"C:\\Program Files\\Windows Media
Player\\WMPNSCFG.exe\""
"CollaborationHost"="\"C:\\Windows\\system32\\p2phost.exe\""
"ehTray.exe"="\"C:\\Windows\\ehome\\ehTray.exe\""
"SpybotSD TeaTimer"="\"C:\\Program Files\\Spybot - Search &
Destroy\\TeaTimer.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="\"C:\Windows\system32\nvsvc.dll\""
"NvMediaCenter"="\"C:\Windows\system32\NvMcTray.dll\""
"RtHDVCplC"="\"C\\WINDOWS\\RtHDVCpl.exe\""
"Acer Empowering Technology Monitor"="\"C:\\Windows\\system32\\SysMonitor.exe\""
"WarReg_PopUp"="\"C:\\Acer\\WR_PopUp\\WarReg_PopUp.exe\""
"avast"="\"C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe\""
"BigDogPath"="\"C:\\Windows\\VM_STI.EXE\""
"EEventManager"="\"C:\\Program Files\\EPSON\\Creativity
Suite\\Event Manager\\EEventManager.exe\""
"Windows Defender"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,\
00,69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,53,\
00,41,00,53,00,43,00,75,00,69,00,2e,00,65,00,78,00,65,00,20,00,2d,00,68,00,\
69,00,64,00,65,00,00,00
"Windows Defender"="\" %ProgramFiles%\\Windows
Defender\\MSASCui.exe\""

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,\
6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,\
00,53,00,69,00,64,00,65,00,62,00,61,00,72,00,5c,00,53,00,69,00,64,00,65,00,\
62,00,61,00,72,00,2e,00,65,00,78,00,65,00,20,00,2f,00,64,00,65,00,74,00,65,\
00,63,00,74,00,4d,00,65,00,6d,00,00,00
"WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,\
6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,\
00,53,00,69,00,64,00,65,00,62,00,61,00,72,00,5c,00,53,00,69,00,64,00,65,00,\
62,00,61,00,72,00,2e,00,65,00,78,00,65,00,20,00,2f,00,64,00,65,00,74,00,65,\
00,63,00,74,00,4d,00,65,00,6d,00,00,00

Désolée mais les amis m'aident et il faut fouiller dans nos PC.

@+
0
Réponse 19 / 46
Utilisateur anonyme
26 janv. 2008 à 18:41
Re,
J'étais en balade aujourd'hui et donc je n'ai rien fait. Prends ton temps ! Il n'y a pas d'urgence pour moi.
A plus tard
Nathalie
0
Réponse 20 / 46
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 32
26 janv. 2008 à 18:51
Bonsoir Nathalie,

Comme tu es sur Vista, il y a encore quelques changements. Les copains de PCA m'aident mais ce n'est pas du gâteau !!!

Voici le dernier .reg que je te propose.

Fais la sauvegarde du registre avec ERUNT.

Ensuite :

1) Création de Fix.reg

Crée un nouveau document texte :

Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
"Sidebar"="C:\\Program Files\\Windows Sidebar\\sidebar.exe /autoRun"
"msnmsgr"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe"
"WMPNSCFG"="C:\\Program Files\\Windows Media
Player\\WMPNSCFG.exe"
"CollaborationHost"="C:\\Windows\\system32\\p2phost.exe"
"ehTray.exe"="C:\\Windows\\ehome\\ehTray.exe"
"SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search &
Destroy\\TeaTimer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="\"C:\Windows\system32\nvsvc.dll\""
"NvMediaCenter"="\"C:\Windows\system32\NvMcTray.dll\""
"RtHDVCplC"="\"C\\WINDOWS\\RtHDVCpl.exe\""
"Acer Empowering Technology Monitor"="\"C:\\Windows\\system32\\SysMonitor.exe\""
"WarReg_PopUp"="\"C:\\Acer\\WR_PopUp\\WarReg_PopUp.exe\""
"avast"="\"C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe\""
"BigDogPath"="\"C:\\Windows\\VM_STI.EXE\""
"EEventManager"="\"C:\\Program Files\\EPSON\\Creativity
Suite\\Event Manager\\EEventManager.exe\""
"Windows Defender"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,\
00,69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,53,\
00,41,00,53,00,43,00,75,00,69,00,2e,00,65,00,78,00,65,00,20,00,2d,00,68,00,\
69,00,64,00,65,00,00,00

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,\
6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,\
00,53,00,69,00,64,00,65,00,62,00,61,00,72,00,5c,00,53,00,69,00,64,00,65,00,\
62,00,61,00,72,00,2e,00,65,00,78,00,65,00,20,00,2f,00,64,00,65,00,74,00,65,\
00,63,00,74,00,4d,00,65,00,6d,00,00,00
"WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,\
6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,\
00,53,00,69,00,64,00,65,00,62,00,61,00,72,00,5c,00,53,00,69,00,64,00,65,00,\
62,00,61,00,72,00,2e,00,65,00,78,00,65,00,20,00,2f,00,64,00,65,00,74,00,65,\
00,63,00,74,00,4d,00,65,00,6d,00,00,00


Puis "fichier"/"enregistrer sous" :
dans : sur le Bureau
Nom du fichier : Fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fais bien attention que Windows Registry Editor Version 5.00 soit sur la toute 1ere ligne, dans le côté supérieur gauche.

2 ) Utilisation du Fix.reg

(Double clique sur) regfix.reg (que tu as créé sur ton bureau) . Pour Vista, fais un clic droit--->Exécuter en tant qu'administrateur.

=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

---> Fais redémarrer ton PC et poste un nouveau rapport HijackThis en réponse.

Pour ton hijackthis, rappel :

Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Clic droit sur l'icône de HJT
L'exécuter en tant qu'administrateur

A plus tard !
0