Suspition de virus

je fais remonter se post au cas ou il serait passer inapercu
car l'heure etant tardive je pensais avoir une reponce avant d'aller au dodo
donc j'aurai voulu savoir si au vu du rapport hijack this je n'avais rien a craindre!!
merci d'avance .....................

salut FSdusud,

Bienvenue dans la communauté CCM.

Pour commencer,
------------------------
Si vous ne pouvez pas faire la mise à jour Norton 2007 ou les suivantes, je vous conseillerais fortement de changer d'antivirus.
La base de signatures virus seule ne suffit pas, il faut un bon moteur également.

Norton est celui qui a malgré une des meilleures qualité de détection (0 faux positif), avait aussi une efficacité de 95% sur 300 000 signatures en 2004, suivant les différents comparatifs (av-comparatives.org).
Ce qui est bon mais représentait quand même une exposition à 15 000 infections.
Et côté nettoyage il propose souvent la quarantaine car il ne sait souvent pas comment nettoyer efficacement.
La compétition a du bon car la version 2007 est digne d’intérêt.

Sinon je vous proposerais un Antivirus qui propose une version gratuite Antivir de Avira, il ne scan pas les mails dans la version gratuite, mais il détectera une infection si un courriel infecté est ouvert.
Un tutoriel de Antivir:
http://forum.malekal.com/ftopic4192.php (merci malekal)

-Avant d'arrêter et d'enlever Norton:
Télécharger Antivir de Avira ici:
https://www.avira.com/ enregistrer le dans votre bureau.
Ensuite pour réaliser une désinstallation propre de Norton aller ici:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924 enregistrer le dans votre bureau également.

Ensuite installer Antivir, faire les mises à jour et ensuite après qu’il vous ait été demandé de redémarrer lancer une analyse complète.

Pendant ce temps là fermer Norton, puis aller dans le panneau de configuration puis ajout/suppr de programme et enlever Norton.
Puis exécuter la désinstallation avec le patch de symantec.

Et pour remplacer le parefeu de Norton security
------------------------
-Je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI

------------------------
Je vous conseillerais Firefox, plus sure, plus rapide et plus souple que IExplorer : http://www.mozilla-europe.org/fr/products/firefox/

Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)


Fermez toutes les applications et le navigateur et cliquer sur Fix Checked.

------------------------
==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher taper :
{2AB289AE-4B90-4281-B2AE-1F4BB034B647}

- Type de recherche : sélectionne l'option 6 puis valide [entrée]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

------------------------
-Sinon pour le moment rien d'autre ne me saute aux yeux.

A+

salut
merci pour ta reponce
donc pour le moment je conserve toujours norton 2003 mais je vais essayer de recupérer
une version plus recente car je l'aime bien le petit norton!!hihi!
si non j'ai executer les autres action que tu m'a demander le fix de la ligne 018 avec hikack

puis executer oad et voici son rapport:
03/02/2008 ---- 9:31:11,71

----------------------------------
§§§§§§ [{2AB289AE-4B90-4281-B2AE-1F4BB034B647} ] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
encore merci pour tes indications

je ne voudrais pa paraitre trop pressant mais aucun expert n'a d'avis sur cette derniére analise?
donc comme le proverbe le dit pas de nouvelle bonne nouvelle !!
donc voici une analise faite sur un autre de mes pc
dans l'ordre AVG, bitdefender,hijackthis

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:08:22 02/02/2008

+ Résultat de l'analyse:

Rien à signaler.

Fin du rapport
----------------------------------------------------------

BitDefender Online Scanner - Real Time Virus Report

Generated at: Sat, Feb 02, 2008 - 22:53:06

--------------------------------------------------------------------------------
Scan Info

Scanned Files 302730

Infected Files 9

Virus Detected

Trojan.Downloader.Harnig.CA 2

Win32.Sober.Y@mm 1

Adware.Navipromo.BZM 6
------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:25, on 02/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

salut,

-Il est important d'avoir la version Norton 2007 ou la suivante, car celles d'avant je ne te les conseillerais pas.

-OAD n'a rien trouvé, les lignes O18 sont parfois utilisé par certaines infections.
Mais juste pour s'en assurer:
Si tu as installé messenger plus désinstalle le dans le panneau de configuration et réinstalle le sans les sponsors.

Télécharge lopxp : http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dezippe le (clic droit dessus > extraire tout)
Et lancer lopxpmh.bat en double-cliquant dessus
Quand il à terminé, un rapport s'ouvre, copier et coller le contenu dans la réponse.

-Pour un peu accélérer ton démarrage.
Quicktime et Msn sont soit inutile ou très gros et prennent des ressources au démarrage.

Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

Fermez toutes les applications et le navigateur et cliquer sur Fix Checked.

Sinon je ne vois rien d'autre.

Ah tu as envoyé un autre log je regardes, le scan Bitdefender indique des infections mais pas si elles ont été traité ou effacé.

A+

je n'ai rien fait avec messenger plus j'utilise shype sur se pc

voila se que me dit lopxp

Rapport lopxpMH2 version 2.0 fait à 20:49:56,18 le 03/02/2008
C:\Documents and Settings\fansierra\Bureau\lopxpMH2\lopxpMH2
Rapport lopxpMH2 version 2.0 fait à 20:49:56,23 le 03/02/2008
C:\Documents and Settings\fansierra\Bureau\lopxpMH2\lopxpMH2

******************************************
******************************************
## Répertoires Application Data
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\All Users\Application Data

02/09/2006 16:04 <REP> .
02/09/2006 16:04 <REP> ..
02/09/2006 19:55 <REP> CyberLink
30/06/2007 13:13 <REP> Grisoft
02/09/2006 16:04 <REP> Microsoft
16/09/2006 12:01 <REP> Pinnacle
16/09/2006 12:06 <REP> Pinnacle Studio
16/09/2006 21:56 <REP> QuickTime
24/03/2007 16:18 <REP> Skype
16/09/2006 12:14 <REP> SmartSound Software Inc
02/09/2006 19:36 <REP> Symantec
03/09/2006 16:17 <REP> Windows Genuine Advantage
02/09/2006 16:04 62 desktop.ini
1 fichier(s) 62 octets
12 Rép(s) 6 968 029 184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\Default User\Application Data

02/09/2006 16:04 <REP> .
02/09/2006 16:04 <REP> ..
02/09/2006 16:04 <REP> Microsoft
02/09/2006 16:04 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 6 968 070 144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

02/09/2006 16:04 <REP> .
02/09/2006 16:04 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 6 968 070 144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\fansierra\Application Data

02/09/2006 15:27 <REP> .
02/09/2006 15:27 <REP> ..
02/02/2008 15:28 <REP> Adobe
30/06/2007 13:13 <REP> Grisoft
03/09/2006 00:12 <REP> Help
02/09/2006 15:27 <REP> Identities
10/10/2006 19:55 <REP> Inkscape
17/09/2006 08:05 <REP> InstallShield
03/02/2007 13:00 <REP> Logitech
03/09/2006 19:39 <REP> Macromedia
02/09/2006 15:27 <REP> Microsoft
30/07/2007 16:38 <REP> Printer Info Cache
24/03/2007 16:19 <REP> Skype
02/09/2006 19:37 <REP> Symantec
30/07/2007 16:28 <REP> U3
02/09/2006 15:27 62 desktop.ini
1 fichier(s) 62 octets
15 Rép(s) 6 968 070 144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\fansierra\Local Settings\Application Data

02/09/2006 15:27 <REP> .
02/09/2006 15:27 <REP> ..
16/09/2006 12:25 <REP> ApplicationHistory
03/09/2006 00:12 <REP> Help
16/09/2006 14:45 <REP> Identities
16/09/2006 12:46 <REP> IsolatedStorage
02/09/2006 15:27 <REP> Microsoft
03/02/2007 12:34 <REP> Musicmatch
16/09/2006 18:59 <REP> WMTools Downloaded Files
09/09/2006 16:22 60 416 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16/09/2006 12:25 132 fusioncache.dat
03/09/2006 00:09 24 448 GDIPFONTCACHEV1.DAT
02/09/2006 19:42 5 889 756 IconCache.db
4 fichier(s) 5 974 752 octets
9 Rép(s) 6 968 070 144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\LocalService\Application Data

02/09/2006 15:25 <REP> .
02/09/2006 15:25 <REP> ..
02/09/2006 15:25 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 6 968 066 048 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\Default User\Application Data

02/09/2006 16:04 <REP> .
02/09/2006 16:04 <REP> ..
02/09/2006 16:04 <REP> Microsoft
02/09/2006 16:04 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 6 968 074 240 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

02/09/2006 15:25 <REP> .
02/09/2006 15:25 <REP> ..
02/09/2006 15:25 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 6 968 074 240 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

02/09/2006 16:04 <REP> .
02/09/2006 16:04 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 6 968 074 240 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\NetworkService\Application Data

02/09/2006 15:25 <REP> .
02/09/2006 15:25 <REP> ..
02/12/2007 10:46 <REP> Macromedia
02/09/2006 15:25 <REP> Microsoft
08/08/2007 10:29 <REP> Symantec
0 fichier(s) 0 octets
5 Rép(s) 6 968 074 240 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\fansierra\Application Data

02/09/2006 15:27 <REP> .
02/09/2006 15:27 <REP> ..
02/02/2008 15:28 <REP> Adobe
30/06/2007 13:13 <REP> Grisoft
03/09/2006 00:12 <REP> Help
02/09/2006 15:27 <REP> Identities
10/10/2006 19:55 <REP> Inkscape
17/09/2006 08:05 <REP> InstallShield
03/02/2007 13:00 <REP> Logitech
03/09/2006 19:39 <REP> Macromedia
02/09/2006 15:27 <REP> Microsoft
30/07/2007 16:38 <REP> Printer Info Cache
24/03/2007 16:19 <REP> Skype
02/09/2006 19:37 <REP> Symantec
30/07/2007 16:28 <REP> U3
02/09/2006 15:27 62 desktop.ini
1 fichier(s) 62 octets
15 Rép(s) 6 968 074 240 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

02/09/2006 15:25 <REP> .
02/09/2006 15:25 <REP> ..
02/09/2006 15:25 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 6 968 074 240 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\fansierra\Local Settings\Application Data

02/09/2006 15:27 <REP> .
02/09/2006 15:27 <REP> ..
16/09/2006 12:25 <REP> ApplicationHistory
03/09/2006 00:12 <REP> Help
16/09/2006 14:45 <REP> Identities
16/09/2006 12:46 <REP> IsolatedStorage
02/09/2006 15:27 <REP> Microsoft
03/02/2007 12:34 <REP> Musicmatch
16/09/2006 18:59 <REP> WMTools Downloaded Files
09/09/2006 16:22 60 416 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16/09/2006 12:25 132 fusioncache.dat
03/09/2006 00:09 24 448 GDIPFONTCACHEV1.DAT
02/09/2006 19:42 5 889 756 IconCache.db
4 fichier(s) 5 974 752 octets
9 Rép(s) 6 968 070 144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

02/09/2006 15:23 <REP> .
02/09/2006 15:23 <REP> ..
02/09/2006 15:23 <REP> Microsoft
02/09/2006 22:40 <REP> Symantec
02/09/2006 15:23 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 6 968 070 144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Documents and Settings\LocalService\Application Data

02/09/2006 15:25 <REP> .
02/09/2006 15:25 <REP> ..
02/09/2006 15:25 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 6 968 070 144 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

02/09/2006 15:23 <REP> .
02/09/2006 15:23 <REP> ..
03/09/2006 12:22 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 6 968 070 144 octets libres

******************************************
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\Norton

C:\WINDOWS\Tasks\Norton
Norton inexploitable
Norton inexploitable

C:\WINDOWS\Tasks\Symantec
C:\WINDOWS\Tasks\Symantec
Symantec inexploitable

******************************************
## Répertoires de C:\Program Files

Symantec inexploitable
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Program Files

03/02/2008 20:03 <REP> .
03/02/2008 20:03 <REP> ..
02/09/2006 19:56 <REP> Adobe
02/02/2008 16:52 <REP> CCleaner
02/09/2006 15:15 <REP> ComPlus Applications
02/09/2006 19:55 <REP> CyberLink
10/01/2007 17:58 54 delir.gio
16/09/2006 12:10 <REP> DivX
28/04/2007 18:06 <REP> eMule
03/02/2008 20:03 <REP> Fichiers communs
30/06/2007 13:13 <REP> Grisoft
10/10/2006 19:53 <REP> Inkscape
15/12/2007 03:04 <REP> Internet Explorer
02/09/2006 22:09 <REP> Inventel
06/09/2006 21:44 <REP> Kazaa
03/02/2007 12:30 <REP> Logitech
30/06/2007 12:55 <REP> Messenger
02/09/2006 15:20 <REP> microsoft frontpage
03/09/2006 11:24 <REP> Movie Maker
02/09/2006 15:14 <REP> MSN
02/09/2006 15:14 <REP> MSN Gaming Zone
16/09/2006 12:30 <REP> MSXML 4.0
03/02/2007 12:33 <REP> MUSICMATCH
06/09/2006 21:00 <REP> Need2Find
03/09/2006 11:17 <REP> NetMeeting
02/02/2008 14:40 <REP> Norton AntiVirus
30/06/2007 11:31 <REP> Norton Internet Security
21/02/2007 20:33 <REP> OrangeHSS
30/06/2007 12:56 <REP> Outlook Express
16/09/2006 12:22 <REP> Pinnacle
22/12/2007 09:53 <REP> Play89
30/06/2007 12:56 <REP> QuickTime
02/09/2006 15:17 <REP> Services en ligne
20/10/2007 11:18 <REP> Skype
16/09/2006 12:14 <REP> SmartSound Software
02/02/2008 14:38 <REP> Symantec
02/09/2006 22:46 <REP> SymNetDrv
18/10/2007 21:31 <REP> TooX
02/02/2008 22:10 <REP> Trend Micro
21/02/2007 20:30 <REP> Wanadoo
02/09/2006 22:26 <REP> Wanadoo Messager
31/12/2006 18:09 <REP> Windows Media Connect 2
31/12/2006 18:09 <REP> Windows Media Player
03/09/2006 11:17 <REP> Windows NT
21/09/2006 21:02 <REP> WinRAR
02/09/2006 15:20 <REP> xerox
1 fichier(s) 54 octets
45 Rép(s) 6 968 053 760 octets libres

******************************************
******************************************
## Répertoires de C:\Program Files
## Popups autorisées

* Internet Explorer
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 709E-D4A3

Répertoire de C:\Program Files

03/02/2008 20:03 <REP> .
03/02/2008 20:03 <REP> ..
02/09/2006 19:56 <REP> Adobe
02/02/2008 16:52 <REP> CCleaner
02/09/2006 15:15 <REP> ComPlus Applications
02/09/2006 19:55 <REP> CyberLink
10/01/2007 17:58 54 delir.gio
16/09/2006 12:10 <REP> DivX
28/04/2007 18:06 <REP> eMule
03/02/2008 20:03 <REP> Fichiers communs
30/06/2007 13:13 <REP> Grisoft
10/10/2006 19:53 <REP> Inkscape
15/12/2007 03:04 <REP> Internet Explorer
02/09/2006 22:09 <REP> Inventel
06/09/2006 21:44 <REP> Kazaa
03/02/2007 12:30 <REP> Logitech
30/06/2007 12:55 <REP> Messenger
02/09/2006 15:20 <REP> microsoft frontpage
03/09/2006 11:24 <REP> Movie Maker
02/09/2006 15:14 <REP> MSN
02/09/2006 15:14 <REP> MSN Gaming Zone
16/09/2006 12:30 <REP> MSXML 4.0
03/02/2007 12:33 <REP> MUSICMATCH
06/09/2006 21:00 <REP> Need2Find
03/09/2006 11:17 <REP> NetMeeting
02/02/2008 14:40 <REP> Norton AntiVirus
30/06/2007 11:31 <REP> Norton Internet Security
21/02/2007 20:33 <REP> OrangeHSS
30/06/2007 12:56 <REP> Outlook Express
16/09/2006 12:22 <REP> Pinnacle
22/12/2007 09:53 <REP> Play89
30/06/2007 12:56 <REP> QuickTime
02/09/2006 15:17 <REP> Services en ligne
20/10/2007 11:18 <REP> Skype
16/09/2006 12:14 <REP> SmartSound Software
02/02/2008 14:38 <REP> Symantec
02/09/2006 22:46 <REP> SymNetDrv
18/10/2007 21:31 <REP> TooX
02/02/2008 22:10 <REP> Trend Micro
21/02/2007 20:30 <REP> Wanadoo
02/09/2006 22:26 <REP> Wanadoo Messager
31/12/2006 18:09 <REP> Windows Media Connect 2
31/12/2006 18:09 <REP> Windows Media Player
03/09/2006 11:17 <REP> Windows NT
21/09/2006 21:02 <REP> WinRAR
02/09/2006 15:20 <REP> xerox
1 fichier(s) 54 octets
45 Rép(s) 6 968 053 760 octets libres

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fsearch%2flobby%2fsearch.asp%3f

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

Ah tu as envoyé un autre log je regardes, le scan Bitdefender indique des infections mais pas si elles ont été traité ou effacé.
ah oui j'ai fait une mauvaise manip mais oui elle on ete effacer!!

Re,

-rapport message 6 lopxpMH2, rien de détecté.

-second rapport HJThis message 4, il est propre, Norton est pas mauvais mais bon... tu as enregistré le log après le scan Bitdefender?

Tu vois pourquoi je te conseillais de changer ton norton car tu as déjà 2 de tes ordi qui étaient infecté.

A+

oui je l'ai enregistrer mais j'ai foirer mon coup et pas trop eu envis de le relancer pour attendre 4h de plus!!
mais inutile car virus effacer mais j'ai ca si cela peut t'indiquer quelque chose
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\Temp\NSIS_install_SP.exe=>(NSIS o)=>lzma_solid_nsis0006</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Detected with: Adware.Navipromo.BZM</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\Temp\NSIS_install_SP.exe=>(NSIS o)=>lzma_solid_nsis0006</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Disinfection failed</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\Temp\NSIS_install_SP.exe=>(NSIS o)=>lzma_solid_nsis0006</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Deleted</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\Temp\NSIS_install_SP.exe=>(NSIS o)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Update failed</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\Temp\NSIS_install_SP.exe=>(NSIS o)=>lzma_solid_nsis0011=>(NSIS g)=>lzma_solid_nsis0002</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Detected with: Adware.Navipromo.BZM</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\Temp\NSIS_install_SP.exe=>(NSIS o)=>lzma_solid_nsis0011=>(NSIS g)=>lzma_solid_nsis0002</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Disinfection failed</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\Temp\NSIS_install_SP.exe=>(NSIS o)=>lzma_solid_nsis0011=>(NSIS g)=>lzma_solid_nsis0002</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Deleted</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\Temp\NSIS_install_SP.exe=>(NSIS o)=>lzma_solid_nsis0011=>(NSIS g)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Update failed</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">D:\Program Files\Norton AntiVirus\Quarantine\36515F02=>(Quarantine-2)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infected with: Win32.Sober.Y@mm</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">D:\Program Files\Norton AntiVirus\Quarantine\36515F02=>(Quarantine-2)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Deleted</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">D:\Program Files\Norton AntiVirus\Quarantine\4F831822.exe=>(Quarantine-2)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infected with: Trojan.Downloader.Harnig.CA</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">D:\Program Files\Norton AntiVirus\Quarantine\4F831822.exe=>(Quarantine-2)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Deleted</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">D:\System Volume Information\_restore{7123B1CB-92B2-4DF4-8728-C2E0A6F5F8AD}\RP131\A0006772.exe=>(Quarantine-2)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infected with: Trojan.Downloader.Harnig.CA</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">D:\System Volume Information\_restore{7123B1CB-92B2-4DF4-8728-C2E0A6F5F8AD}\RP131\A0006772.exe=>(Quarantine-2)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Deleted</font></p>
</td>
pour le premier PC rapport (msg 1,3 et 6 ) il et vrais que je n'ai fait que tres rarement des analises de virus et spyware
ceci explique sertainement cela!

pour le PC (msg 4) se pc a etait formaté il y a un mois a peine et avant je n'avais aucun anti virus dessus
et aucun souci (pendant plus de deux ans )de virus ni de plantage jusqu'au jour ou j'ai t'enter le diable
et paf grosse infection et se n'est que depuis se formatage ou pour plus de securiter j'ai réinstaler norton
que je rencontre des souci de programme qui plante de lenteur d'ouverture de fenetre ,de démarage
et des fenetre de pub qui s'ouvresans les avoir soliciter je me suis donc dit que lors des mise a jour
windows et norton quelque chose a du passer au travers mais a tes dire il n'aurai rien
@++

FSdusud,


-second rapport HJThis message 4, il est propre, Norton est pas mauvais mais bon... tu as enregistré le log après le scan Bitdefender?
Malentendu je parlais du log HJThis tu l'as fait après avoir exécuté le scan en ligne Bitdefender, ou avant?

-----------------
-Le log bitedenfer est pas très lisible mais bon il semble avoir bien travaillé (pas cool pour les yeux :-P).
Il a trouvé des infections dans les fichiers restauration puis les a mis en quarantaine (D:\System Volume Information\_restore...)
Il faudra désactiver et réactiver la restauration quand tout sera propre avec un coup ce CCleaner.

-----------------
-que je rencontre des souci de programme qui plante de lenteur d'ouverture de fenêtre ,de démarrage
et des fenêtre de pub qui s'ouvrent sans les avoir sollicitées...
Pour contrer les pub il va falloir passer par le fix Navilog

Il y a sans doute une infection NaviPromo là dessous.
On va vérifier cela:
• Télécharge Navilog1 de Il_Mafioso depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
• Une fois l'installation terminée, fait un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis Exécuter en tant qu'administrateur .
• Au menu principal, Fait le choix 1
• Laisse toi guider et patiente jusqu'au message :
*** Analyse Termine le ..... ***
• Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta prochaine réponse.
Referme le bloc note.
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

A+

-second rapport HJThis message 4, il est propre, Norton est pas mauvais mais bon... tu as enregistré le log après le scan Bitdefender?
Malentendu je parlais du log HJThis tu l'as fait après avoir exécuté le scan en ligne Bitdefender, ou avant?
-----------
oui hijack a ete fait apres bitdefender comme indiquer dans le tuto pour les preliminaire!
pour navilog je te fait ca!!@++

edit: je ne peux pas ouvrir navilog en t'en admisistrateur
message d'erreur suivant:
erreur d'ouverturee de cession: restriction de compte utilisateur ...................
il me demande un mot de passe mais lors de l'instal d'XP je n'est donner aucun mot de passe
pourquoi??
@++

RE,

essayes en double cliquant normalement.

A+

c'est fait j'ai decocher l'option dans la fenetre pour l'execution en t'en que
a l'ouverture du bios
j'ai eu deux alerte de norton pour logiciel malveillant que j'ai bloquer
puis pendant l'analise deux cheval de trois me sont tomber dessus
pui un script navilog a ete bloquer aussi est ce normal??
voici le rapport
----------

Search Navipromo version 3.4.2 commencé le 04/02/2008 à 0:44:03,23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans ***

*** Recherche dossiers dans "C:\Documents and Settings\thierry fixe\application data" ***

*** Recherche dossiers dans "C:\Documents and Settings\thierry fixe\local settings\application data" ***

*** Recherche dossiers dans "C:\Documents and Settings\thierry fixe\menu dÚmarrer\programmes" ***

*** Recherche dossiers dans ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\thierry fixe\local settings\application data" *

Fichiers suspects :

xfrvbbwtnp.exe trouvé !

*** Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\thierry fixe\local settings\application data" :

xfrvbbwtnp.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :

*** Analyse terminée le 04/02/2008 à 0:57:01,68 ***

Re,

C'est normal, Navilog fait ce que font les infections, il est très intrusif d'où ces messages.

Tu es infecté par Navipromo (adware Navipromo/ Magic control)

Désactiver Norton le temps de la désinfection pour éviter les messages d’alerte intempestifs.
• Si tu peux, fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".
• Au menu principal, Fais le choix 2.
Laisse toi guider et patiente.
L'outil va t'informer qu'il va redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
• Au redémarrage de ton PC, choisis ta session habituelle.
• Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
• Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaître
Réactive le contrôle des comptes utilisateurs (UAC)
Poste ce rapport dans ta prochaine réponse avec un autre rapport HJThis.

PS: Si ton bureau ne réapparaît pas, fais CTRL+Maj+Esc pour ouvrir le gestionnaire de tâches.
Dans le menu fichiers, sélectionne "exécuter".
Tape explorer et valide. Ton bureau va réapparaître.
________________________________________________________

A+

salut,
bien voici les rapport demander:
navilog:
----------------
Clean Navipromo version 3.4.2 commencé le 04/02/2008 à 19:49:39,84

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

* Suppression dans "C:\Documents and Settings\thierry fixe\local settings\application data" *

Autres Suppressions :

xfrvbbwtnp.exe trouvé !
Copie xfrvbbwtnp.exe réalisée avec succès !
xfrvbbwtnp.exe supprimé !

xfrvbbwtnp.dat trouvé !
Copie xfrvbbwtnp.dat réalisée avec succès !
xfrvbbwtnp.dat supprimé !

xfrvbbwtnp_nav.dat trouvé !
Copie xfrvbbwtnp_nav.dat réalisée avec succès !
xfrvbbwtnp_nav.dat supprimé !

xfrvbbwtnp_navps.dat trouvé !
Copie xfrvbbwtnp_navps.dat réalisée avec succès !
xfrvbbwtnp_navps.dat supprimé !

C:\WINDOWS\prefetch\xfrvbbwtnp*.pf trouvé !
Copie C:\WINDOWS\prefetch\xfrvbbwtnp*.pf réalisée avec succès !
C:\WINDOWS\prefetch\xfrvbbwtnp*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Suppression dossiers dans "C:\Documents and Settings\thierry fixe\application data" ***

*** Suppression dossiers dans "C:\Documents and Settings\thierry fixe\local settings\application data" ***

*** Suppression dossiers dans "C:\Documents and Settings\thierry fixe\MENUDM~1\PROGRA~1" ***

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\thierry fixe\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans C:\WINDOWS\system32 *

* Dans "C:\Documents and Settings\thierry fixe\local settings\application data" *

*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 04/02/2008 à 19:58:16,69 ***

-----------------------------------------------------------
hjthis:
---------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:02, on 04/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

bien deja une bonne chose car je n'ai plus a priorit de fenetre de pub qui s'affiche!!
et autre chose qui me fait sourire c'est qu'etant petit boss sur une autre forum (auto celui la)
je fait comme toi je fait le mécano virtuel!! pas par des rapport mais pour nous les tofs sont tres utile!!lol!
donc si souci sur ford en particulier sierra je suis a ta disposition!!
@++

Salut,

Bonne nouvelles alors.
Merci pour la proposition, chu pas vraiment Ford désolé hehe.

Tu vas pouvoir continuer le nettoyage.

Exécuter et Télécharger Spybot, Spywareblaster, CCleaner et AdAware
------------------------
1- Cliquer sur Spybot pour télécharger la dernière version 1.5 (septembre 2007)
Après installation cliquer sur Rechercher les Mises à Jour, cocher les MàJ , télécharger les MàJ, Vérifier tout, Purger les éléments sélectionner, puis ***Vacciner***
Le tutorial très complet http://www.tutoriaux-excalibur.com/spybot.htm (merci excalibur)

1a- Cliquer sur Spywareblaster pour le télécharger
Après l’installation et la configuration, il suffit de faire les mises à jour il s’occupe du reste.
Le tutorial très complet ICI (merci à 01net.com)

------------------------
2- Cliquer CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.

Pendant l'installation si vous avez déjà une barre de recherche, alors décocher l'ajout de la barre yahoo.
Son tutorial ICI
Une fois installé, aller dans Options/Propriétés/ Effacement sécurisé du fichier (lent) Type NSA (7 Passages).
Ensuite dans Options/Avancés, décocher : effacer uniquement les fichiers du répertoires temp de Windows de plus vieux que 48h.
C'est la meilleure config.
Bouton Nettoyer, cliquer sur Analyse laisser travailler cela peut être très long ensuite cliquer sur Lancer le nettoyage.
Ensuite sur le bouton Registre répéter 2 fois les étapes suivantes:
Chercher les erreurs- Réparer les erreurs sélectionnées
Ne pas oublier de sauvegarder au cas où il supprimerait une mauvaise clef (peu probable).
À effacer ensuite s’il n’y a pas de problème par la suite.

------------------------
3- Cliquer sur Ad-aware2007
Un très bon complément entre Spybot et CCleaner.
Nouvelle version en anglais uniquement, mais très simple (appuyer sur cancel quand il demande les numéros de série pour avoir la version gratuite).
La première fois, appuyer sur le bouton update il va demander si vous voulez exécuter update cliquer Yes.
Ensuite appuyer sur scan et la première fois, cocher full scan et appuyer sur scan (la fois suivante, cocher smart scan, il fera un scan des zones principales).
Cliquer sur les 2 onglets Critical et Privacy objects, cocher les objets trouvés et cliquer sur Remove

------------------------
4- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
Kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Utile à rajouter dans ses favoris)
Coller le rapport si il y a détection d'une infection.

------------------------
5- ToolsCleaner de A.Rothstein
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau.
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)

------------------------
6- Mises à jours pour voir si tu as les dernières versions des Plugs in, Navigateur, Windows, Flash...
C’est en anglais mais il y a juste 1 ou 2 boutons à cliquer.
https://www.flexera.com/products/operations/software-vulnerability-management.html
une petite explication dans ce lien (merci malekal).
Et bien entendu windows update: http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

A+

salut et bien di donc sa en fait des chose a faire je vais en avoir pour la soirée!!lol
heureusement que j'ai deux pc sur mon bureau pour bien suivre tes instructions.
bon je te fais sa @++

ah au fait tu peux me donner ton avis sur ca:
http://www.commentcamarche.net/forum/affich 4890230 probleme de connection sur un reseau domestiq?dernier#dernier
car depuis dimanche aucune reponce!!
merci d'avance!!

RE
bien alors resulta:
spybot 1 trouver:
https://i27.servimg.com/u/f27/11/24/25/12/spybot10.jpg
-----------
ccleaner
rien trouver
---------------------
ad-aware2007
version du lien en francais
donc comme je suis pas top en englais
j'ai fais les deux scan et tout deux vierge
------------------------
kaspersky
la c'est moin bon
voici le rapport:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, February 06, 2008 12:29:06 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 5/02/2008
Enregistrements dans la base antivirus Kaspersky : 509999
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Dossiers:
C:\

Statistiques de l'analyse:
Total d'objets analysés: 28277
Nombre de virus trouvés: 1
Nombre d'objets infectés: 1 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:23:38

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Symantec\Norton Internet Security\Log\Confdntl.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton Internet Security\Log\Content.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton Internet Security\Log\Privacy.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton Internet Security\Log\Restrict.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton Internet Security\Log\Spam.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton Internet Security\Log\WebHist.log L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\Local Settings\Historique\History.IE5\MSHist012008020520080206\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\thierry fixe\NTUSER.DAT.LOG L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SymNeti1000.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SymNeti1001.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SymNeti1002.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SymNeti1003.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SymNeti1004.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SymNeti1005.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVApp.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVError.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVVirus.log L'objet est verrouillé ignoré
C:\Program Files\Norton Internet Security\nisum.dat L'objet est verrouillé ignoré
C:\Program Files\Wanadoo\Download\xml.txt L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{7123B1CB-92B2-4DF4-8728-C2E0A6F5F8AD}\RP122\A0006541.exe Infecté : Virus.Win32.KME ignoré
C:\System Volume Information\_restore{7123B1CB-92B2-4DF4-8728-C2E0A6F5F8AD}\RP135\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_c8.dat L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.
---------------------------------
donc
au vu de cette infection
je n'ai pas exécuter les etape 5 et 6 du msg 17
@++

FSdusud

merci pour les détails bien filtré ;-)

------------------------
ccleaner rien trouver
Il ne fait qu'enlever les cookies ou les clés inutiles.

------------------------
kaspersky la c'est moin bon voici le rapport:
Pas de problème, rien de grave

C:\System Volume Information\_restore{7123B1CB-92B2-4DF4-8728-C2E0A6F5F8AD}\RP122\A0006541.exe Infecté : Virus.Win32.KME ignoré
Cette infection est bloqué dans les fichiers restauration.

Continuer donc avec les étapes 5 et 6 puis terminer avec:
------------------------
- Désactiver la restauration système attendre qu'il travail puis l’activer de nouveau
Pour cela suivre les instructions du lien ICI

------------------------
-Pour ce qui est du message 18 je n'ai pas d'idée, regardes ici peut être:
http://ww1.emule-zenzone.com/tutoriel4.html

Et je penses vous pourrez cocher le problème comme résolu en haut du premier en haut du premier message.

A+