win 32 et autres soucis je crois...

Question

bonjour à tous!
Je suis désespérée depuis quelques jour avec mon ordinateur qui a l'air tres malade en ce moment...
tout a commencé il y a à peu pres 1semaine. Les ordinateurs des mon ecole avaient tous un virus "win32 autorun"; et je n'ai pas été vigilante car je l'ai eu chez moi à mon tour. J'ai suivit quelques manip' decrites sur un forum, que je n'aurais peut etre pas du faire car il fallait toucher au systeme, et je ne suis pas du tout familiere avec tous ca, alors j'ai peur d'avoir fait des betises. Bon j'ai finit par appliquer un patch que j'ai trouvé sur ce ce forum,qui ma permis de retrouver l'acces des mes differents disques, donc j'ai juste fait un scan avec avast et j'ai laissé. Mais voila depuis quelques jour je n'arrive plus à etteindre mon ordinateur, avast ouvre une fenetre en disant qu'il ne peut pas eteindre parcequ'il y a un cd dans le lecteur ( mais il yen a pas..) et je suis obligée d'eteindre manuellement ( c po bien). Et plus chiant encore, mes fenetres( ma souris plutôt) se met à bouger( trembler) et rendre quasi impossible ma navigation ( de temps en temps mais de plus en plus frequemment)
Je ne sais pas quoi faire, jai telechargé hitman pro, mais il s'arrete au bout de 5min en affichant un message d'erreur ( probleme de memoire?)
Si quelqu'un pourrait me donner quelques pistes sa serait vraiment cool, j'ai un memoire à rendre dans quelques jours et j'ai peur que mon pc me plante!!!
merci d'avance
( ps: jai relancé un scan ce soir avec avast : il a detecté 2 virus : win32 mailskinner etWin32:Agent-ROU )

Zone-swap · Answer

( ps: jai relancé un scan ce soir avec avast : il a detecté 2 virus : win32 mailskinner etWin32:Agent-ROU )

tu les a supprimé ???

koolas · Answer

oui je les ai supprimé

noctambule28 · Answer

salut

pour commencer

 Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.  

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


    Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
                  http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm 

a+

koolas · Answer

alors voila le rapport, mais fixer des lignes sa veut dire quoi? ( j'ai rien fait...)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:47:08, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Conversions Plus\FORMATM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Conversions Plus\MacName.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\WinZip\WZQKPICK.EXE
c:\windows\system\hpsysdrv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://fr.search.yahoo.com/?fr=cb-hp06
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwanalyze.jsp?record=ZLN00550166299650-1025/40f3ca7016f3673528f0017d5&tab=overview
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\Conversions Plus\MacLic.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [McaFee virus detect program.] c:\Program Files\Network Associates\VirusScan\McaUpdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: MacName.lnk = C:\Program Files\Conversions Plus\MacName.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file:///C:/Program%20Files/AutoCAD%202002/AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file:///C:/Program%20Files/AutoCAD%202002/InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file:///C:/Program%20Files/AutoCAD%202002/InstFred.ocx
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file:///C:/Program%20Files/AutoCAD%202002/AcPreview.ocx
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MacFormatService - DataViz Inc. - C:\Program Files\Conversions Plus\FORMATM.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Qisqmxyaacf - Sonic Solutions - (no file)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Zone-swap · Answer

PPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFppppppppppppppppppppppppppppppppppppppppppfffffffffffffffffffffffffffffffffffffffff ben té pas dans la merde toi !!

koolas · Answer

merci......... je crois que je l'avais remarqué... mais la tu me fais peur... il y a une solution pour moi ? peux tu me dire ce qu'il se passe steplé?

noctambule28 · Answer

tu n'a pas de pare feu, il faut en mettre un, et je te conseillerais antivir plutot que avast

antivir plutot que avast, en anglais mais tres simple

AntiVir
AntiVir 
un tuto
https://www.malekal.com/avira-free-security-antivirus-gratuit/
--------------
installes un pare feu, celui de windows n'est pas suffisant
ZoneAlarm
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

un tuto pour le configurer
https://www.pcastuces.com/pratique/securite/firewall2/firewall.htm


ou

Kerio
http://www.commentcamarche.net/telecharger/telecharger 206 kerio
plus leger que zone alarm
un tuto
http://www.malekal.com/kerio_firewall.php

--------------------------------------


de plus il te reste des trace de Mcaffe, donc pour le desintaller proprement
regarde ce qui est ici
http://www.commentcamarche.net/forum/affich 4729260 comment desinstaller proprement mcafee#3
--------------------------------

une fois tout cela fait, et apres seulement



relance hijackthis

fait "do system scan only"
coche devant ces lignes  et clic sur fix checked


R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL 
---------------------
Télécharge BTFix 1.017 (de bibi26)
http://cluster1.easy-hebergement.net/

* Décompresse l'archive sur ton Bureau
* Ouvre le dossier BTFix
* Double clique sur BTFix.exe
* Clique sur Rechercher
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse

Si tu vois une infection tu continues( là......)

Démarrer en Mode sans échec. Attention, tu n'as pas accès à Internet dans ce mode, note bien ce que tu as à faire.
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.


* Démarre l'ordinateur.
* Une fois le chargement du BIOS terminé, il y a un écran noir.
* Appuie sur la touche F8 ou F5, à répétition jusqu'à l'affichage du menu des options avancées de Windows.
* En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuie sur Entrée.
* Choisis ton compte usuel et non Administrateur.

* Ouvre BTFix
* Clique sur "Nettoyer"
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse
et un nouvel hijackthis

Zone-swap · Answer

bon nicolas je dit nicolas cdar ton speudo te trai!! a tout les coup tu t'appel nicolas!! Koolas!
déjà vire toutes les toolbar soit sur firefox ou internet explorer!

ensuite dit moi tu est sur un PC portable ou pâs??


dans tout les cas va dans exécuté tape "msconfig" et va dans démarrage et décoche tout sauf l'anti-virus (avast sa te tu laisse!)!
et msn ou emul si tu veu que sa se lance en méme temps que windows (si  tu as emul biensur!)

ensuite pour :

C:\WINDOWS\system32\ctfmon.exe 
tu va dans Panneau de configuration< puis option régionnal et liguistique < langues< détail < avancé <t tu coche ""arreter les service de texte avencés!

déjà tu véra une ammélioration!

koolas · Answer

ok je te remercie je vais faire tous ca, et on va voir... j'avais installé zone alarm avant mais sa m'empechait de naviguer sur le net donc je l'avais enlevé, je vais installer kerio et je vous tiens au courant!
a tte

koolas · Answer

euh.. pourquoi nicolas? lol!! (je suis une fille en plus... hum)
Je suis sur un pc... et je n'ai pas n'utilise pas emule...
Je commence par ta manip ou celle de noctambule?

Zone-swap · Answer

c'est toi ki vois sinon voi  d'autre astuse bonne lecteur et dsl !! miss ais je pensé que koolas! été un spedonime de nicolas!! sa arrive défois!! moi mon speudo a rien a voir aavec nicolas mais c'est mon vrai mon nicola s regarde www.nikos54.eu tu peu méme t'enregistré !! c'est gratuit!! lol ou regde dans contact !! tu véra la méme photos que dans mon profil de CCM!:!! @+


Suppression de programmes et fichiers inutiles :

Programmes inutiles : si un jeu ou un logiciel ne vous intéresse plus, pensez à le désinstaller : l’économie d’espace ainsi réalisée est parfois non négligeable !
o Allez dans le menu Démarrer
o Cliquez sur panneau de configuration
o Choisissez le module ajout/suppression de programmes
o Faites défiler la liste et sélectionnez le programme à désinstaller, puis cliquez sur : Ajouter/Supprimer



Remarque :il arrive parfois qu’après un nettoyage de la base de registre, certaines entrées ne se trouvent plus dans le module ajout/suppression de programmes, dans ce cas, il faut directement aller voir dans : démarrer < tous les programmes < Nom du programme et vérifier s’il y a une option pour désinstaller.
Supprimer les programmes inutiles au démarrage

Vous avez la possibilité de modifier la liste des logiciels qui se lancent au démarrage de Windows afin d'optimiser le temps d'accès au bureau :

Pour ce faire :
o Allez sur Démarrer
o Puis Exécuter
o Saisissez Msconfig, validez par OK
o Choisissez l'onglet Démarrage , et décochez uniquement les programmes qui ne sont pas indispensables au démarrage, par exemple : power DVD, open office, logitech ...
o Gardez tous les logiciels de protections comme l'antivirus, le parefeu ...



VOIR ICI
Fichiers inutiles qui peuplent votre ordinateur

Vider la corbeille : une évidence ? Pas pour tout le monde, les fichiers indésirables contenus dans la corbeille ne disparaissent pas de votre disque dur. Il faut donc penser à la vider régulièrement.



=>réglage utile : la dimension de l’espace alloué à la poubelle est par défaut réglé à 10% de la taille du disque. Vous pouvez diminuer cet espace et ainsi économiser quelques giga :
Clique droit sur l’icône de la poubelle < propriété < Déplacer la réglette sur le pourcentage voulu et appliquer

Par exemple, pour un DD de 80Giga, 2% ou 3% suffisent amplement


Pour les fichiers très volumineux, vous pouvez les supprimer sans passer par la poubelle avec Maj+Suppr
Fichiers Internet temporaires

Lorsque vous surfez sur le net, votre navigateur conserve par défaut toutes les pages Web que vous avez consultées dans un dossier temporaire ( ainsi que de nombreuses cookies qui peuvent s’y cacher) Cette fonction peut parfois être utile, mais ce dossier peut vite devenir encombrant s’il n’est pas vidé de temps en temps.
1. Suppression des fichiers avec un utilitaire

Voici des logiciel gratuits et efficaces qui s’occuperont de supprimer tous ces fichiers :

CCleaner
cleanup

2.Suppression des fichiers manuellement

En cas d’infection ou d’impossibilité de se connecter au net, il faut quelquefois mettre la main à la pâte et nettoyer les dossiers sensibles à la main :

Dans ce cas, il vaut mieux (ce n’est pas obligatoire mais plus sur) de faire les suppressions en mode sans échec après avoir rendu visibles les fichiers cachés.
En pré-nettoyage :

Panneau de configuration < Options internet < Onglet Général
o Cliquez sur supprimer les cookies
o Cliquez sur Supprimer les fichiers et cochez la case Supprimer tout le contenu hors connexion



Puis :

Supprimez tous les fichiers et dossiers qui se trouvent à l’intérieur des dossiers en gras ci-dessous :
o Allez sur le poste de travail
o Cliquez sur disque C:\ (disque où se trouve votre système d'exploitation)
o Ensuite cliquez sur le dossier Documents and Settings C:\Documents and Settings
o Choisissez le Nom du compte de la session en cours
o puis cliquez sur le dossier Local Settings, et enfin sélectionnez le dossier Temp et supprimez tout son contenu



un raccourci pour accéder plus facilement à ce dossier et uniquement pour le compte qui a ouvert la session en cours:
démarrer < exécuter < taper %temp% et valider

Faites de même pour supprimer le contenu des dossiers en gras suivant :
o C:\Documents and Settings\Nom de tous les autres comptes\Local Settings\Temp
o C:\Windows\Temp
Moins connu mais certains virus s’y logent parfois:
o C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5
o C:\WINDOWS\system32\config\systemprofile\Local Settings\Temp.

Dossiers superflus

Dans le répertoire ( C:\Windows ) se crée une sauvegarde de désinstallations des mises à jour Windows, elle se présent sous forme d’une liste de plusieurs dossiers aux noms étranges ressemblant à $NtUninstallKB8556$ écrits en bleu. Vous pouvez les supprime sans risque.

( Prudence ! ne pas supprimer ces dossiers au fur et à mesure des mises à jour car ces dossiers contiennent les désinstallateurs des mises à jour de windowsupdate, donc en cas de problèmes avec une mise à jour, il vous sera impossible de la désinstaller ! )

Il faut dans un premier temps faire apparaître les dossiers cachés :
o Allez dans le menu Démarrer
o Cliquez sur Mes documents
o Ensuite cliquez sur le menu Outils
o Choisissez Options des dossiers
o onglet Affichage, repérez la ligne Afficher les fichiers et dossiers cachés
o puis validez par OK.
Ensuite :
o Allez sur le poste de travail
o Cliquez sur disque C:\ (disque où se trouve votre système d'exploitation)
o Ensuite cliquez sur le dossier Windows C:\Windows
o Supprimez tous les dossiers avec un nom ressemblant à $NtUninstallKB8556$ écrits en bleu ( la liste peut être longue ! )



ATTENTION à ne supprimer que ces dossiers et pas d’autres !!!

Si votre ordinateur a déjà subi un plantage sérieux (exemple: écran bleu ou message « vidange de la mémoire physique ») Windows génère un fichier appelé memory.dmp. Le poids de ce fichier est à peu près équivalent à la quantité de mémoire installée sur le PC. Une fois revenue à un fonctionnement normal, ce fichier volumineux peut être supprimé sans risque :
o Allez sur le poste de travail
o Cliquez sur disque C:\ (disque où se trouve votre système d'exploitation)
o Ensuite cliquez sur le dossier Windows C:\Windows
o Supprimez le dossier appelé memory.dmp

Lors de l’installation de nouveaux logiciels ou d’un nouveau périphérique, votre système crée un point de restauration, c’est-à-dire qu’il effectue une sauvegarde à un instant précis afin de permettre une restauration à l'identique en cas de problème. Cette fonction est très utile mais est aussi très « gourmande » en espace disque. Il faut donc penser à effacer de temps en temps les sauvegardes les plus anciennes, car seules les plus récentes gardent une cohérence avec votre système actuel :

* Allez sur le poste de travail
* Faites un clique droit sur disque C:\ (disque où se trouve votre système d'exploitation)
* Choisissez l’onglet propriété
* Puis nettoyage du disque dur ( Windows calculera la quantité d’espace qui pourra être libéré )
* Dans la fenêtre qui suit, choisissez autres options
* Choisissez enfin : supprimer tous les points de restauration à l’exception des plus récents

Pour travailler, Windows utilise non seulement de la mémoire vive ( la ram ) mais également de la mémoire virtuelle ( fichier d'échange ) sur le disque dur. Ce fichier d'échange aussi appelé « fichier swap » est utilisé par Windows pour stocker sur le disque dur des informations temporaires. Pour la Ram, toutes les informations sont purgées quand l'ordinateur est éteint. Ce qui n'est pas le cas du fichier d'échange qui est laissé tel quel à chaque extinction du PC, conservant des données obsolètes et informations confidentielles pouvant être exploitées par un tiers malveillant. Pour des raisons de sécurité et d'optimisation, il est possible d’activer la purge de ce fichier à l'arrêt de la machine. Cette fonction est désactivée par défaut car elle augmente « sommairement » le temps de fermeture du système d'exploitation.

* Allez sur Démarrer
* Puis Exécuter
* Saisissez Regedit, validez par OK
* Déroulez l'arborescence pour éditer la clé :



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro\Session Manager\Memory Management

* Editez la valeur en double cliquant sur la valeur :



ClearPageFileAtShutdown et donnez-lui la valeur 1

Il ne vous reste qu'à fermer la base de registres et redémarrer l'ordinateur pour que cette option soit prise en compte.

Toutes les manipulations citées précédemment entraînent un éparpillement des données sur votre disque dur, et avec le temps, tout ceci ressemble à du « gruyère ». Plus les données sont "fragmentées", plus votre système mettra du temps pour aller les chercher. C'est pourquoi, il faut défragmenter régulièrement le disque dur, c'est-à-dire réorganiser toutes ces données :

defragmenter son disque dur

Afin d'effectuer une bonne defragmentation il est préférable de laisser EN PERMANENCE 15 % d'espace libre sur la partition (En général partition C:\ contenant C:\Windows) contenant le systeme d'exploitation (Valable pour tout les Windows).

Cet espace permanent garantira aussi une fonctionnalité optimale de Windows.

C'est pour cette raison que l'on invite les personnes qui installent leurs Windows, eux memes, a créer une partition spécifique a Windows (15 % d'une partition de 20 go, est resolument plus attractive que 15 % d'une partition de 250 go...).
Cette partition spécifique a Windows doit avoir a moins une taille de 10 % du total du disque dur (si la partition est NTFS). Pour un disque dur de 250 go ma partition spécifique a Windows fera au minimum 25 go.

Il est recommandé de faire un dépoussiérage complet de l'unité centrale au moins une fois par an, afin de prévenir tous ralentissements et surchauffe au niveau de certains composants comme le ventilateur etc.... en ouvrant cette dernière. Munissez vous des linguettes en coton sèches, coton-tige ... et tout ce qui vous semblera utile pour atteindre les coins et recoins. Attention ! à ne pas déplacer de composants ou câbles lorsque vous nettoierez l'unité centrale, sous peine de mettre votre PC hors service ! Si vous n'êtes pas sûre de vous, il est préférable de faire appel à un ami expérimenté afin qu'il vous guide et vous conseil lors des différentes opérations.

Lors de l’installation de nouveaux logiciels ou d’un nouveau périphérique, votre système crée un point de restauration, c’est-à-dire qu’il effectue une sauvegarde à un instant précis afin de permettre une restauration à l'identique en cas de problème. Cette fonction est très utile mais est aussi très « gourmande » en espace disque. Il faut donc penser à effacer de temps en temps les sauvegardes les plus anciennes, car seules les plus récentes gardent une cohérence avec votre système actuel :

* Allez sur le poste de travail
* Faites un clique droit sur disque C:\ (disque où se trouve votre système d'exploitation)
* Choisissez l’onglet propriété
* Puis nettoyage du disque dur ( Windows calculera la quantité d’espace qui pourra être libéré )
* Dans la fenêtre qui suit, choisissez autres options
* Choisissez enfin : supprimer tous les points de restauration à l’exception des plus récents

logiquement cela va devoir t'aidé!
@+

Zone-swap · Answer

j'ai eu le méme problème que elle il y a 2 mois est c'est avec sa que maintenent j'ai plus de problème !!
souri qui bouge sans arrét!! et autre !! maintent d=sans formaté ni rien il marche tré bien !! une seul déifférence j'ai kaspersky internerty sécurité 6.0!! la grosse version de kaspserky!

koolas · Answer

lol je comprend rien...
j'ai vu que j'avais une vingtaine de fichier au demarrage, c'est pas normal c'est ca? faut que je fasse le tri? ok
et enlever les toolbar en 2mots faut faire comment?

koolas · Answer

noctambule, lorsque j'essais de telecharger kerio, un message me dit que mes parametres de securité ne me le permettent pas.comment sa se fait?

Zone-swap · Answer

Panneau de configuration ( mon adresse mail admin@nikos54.eu))
ajouté supprimé !! et tu supprime les toolbar!

 en suite démarré excuté > MSCONFIG<  ongket demarrage < et décoche tout sauf avast!! c'est anti-virus!!

koolas · Answer

ok pr les toolbar et fichier de demarrage... reste a installer kerioet antivir, mes parametre de securité ne me permette pas de telcharger... c'est bizard?

Zone-swap · Answer

bon sinon pour le moment téléchatge spybot et Ad-Aware 2007 (version gratuite!)
et fait une annalise avec les 2!

koolas · Answer

noctambule je n'avais pas vu ta reponse. je ne vois pas de barre apparaitre.. :(

koolas · Answer

je me suis mise avec firefox, c bon le telechargement marche! merci

Zone-swap · Answer

FIREFOX mmmm!! j'adort se nom !! sa me fait- du bioen !! sa!! enfin un Open source!! lol 
bravo miss!!

koolas · Answer

c réglé pr antivir kerio et avast... il me manque mcaffe a bien desastaller
Simplement au redemarrage kerio detecte tentative d'intrusion de c: windows/systeme32/rnrwxpg.exe ; je voulais savoir si ct normal? surtout qu'en voulant fermer la fenetre de kerio , elle se reouvre apres?
Je pose peut etre des questions bête... mais j'y connais rien

koolas · Answer

bon jai lancé antivir et il ma trouvé rapidement un virus : McaUpdate.exe ; je lai mis en quarantaine, je laisse tourner le scan et vs tiens au courant + tard
Merci beaucoup pr votre aide

koolas · Answer

ah bon tu va ten aller, il faut que je fasse vite alors! je dois continuer par quoi?

Zone-swap · Answer

ben dormir je pense comme BCP de personne!!! lol

koolas · Answer

ok merci bcp a + tard alors

Zone-swap · Answer

oki moi je reste encore je bosse que se soir a 22h! lol fait chier!

koolas · Answer

bonjour, voici le resultat du scan antivir pour commencer , sa n'a pas l'air joli tout ca :

AntiVir PersonalEdition Classic
Report file date: mercredi 6 février 2008 04:53

Scanning for 1093948 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: ANANAS

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 03:04:20
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 03:04:20
ANTIVIR3.VDF : 7.0.2.96 321024 Bytes 05/02/2008 03:04:20
AVEWIN32.DLL : 7.6.0.62 3240448 Bytes 06/02/2008 03:04:20
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 06/02/2008 03:04:20
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 6 février 2008 04:53

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'Tablet.exe' - '1' Module(s) have been scanned
Scan process 'TabUserW.exe' - '1' Module(s) have been scanned
Scan process 'CLSched.exe' - '1' Module(s) have been scanned
Scan process 'Tablet.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'FormatM.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned
Scan process 'CLMLServer.exe' - '1' Module(s) have been scanned
Scan process 'CTDevSrv.exe' - '1' Module(s) have been scanned
Scan process 'CTSVCCDA.EXE' - '1' Module(s) have been scanned
Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned
Scan process 'CDANTSRV.EXE' - '1' Module(s) have been scanned
Scan process 'CDAC11BA.EXE' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'apdproxy.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'rnrwxpg.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'LEXPPS.EXE' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'LEXBCES.EXE' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
41 processes with 41 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '35' files ).

Starting the file scan:

Begin scan in 'C:\' <PRESARIO>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP283\A0068226.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47d99690.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP297\A0068669.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996d1.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP297\A0068670.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was deleted!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP299\A0068764.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was renamed to 'A0068764.exe.VIR'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP299\A0068765.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996f2.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP300\A0068787.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996f4.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP300\A0068788.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67e15.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP300\A0068806.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996f5.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP300\A0068807.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67e16.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP301\A0068830.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996f7.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP301\A0068831.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67e18.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP302\A0068871.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996f9.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP302\A0068872.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67e1a.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP303\A0068915.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996fb.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP303\A0068916.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67e1c.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP303\A0068935.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996fc.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP303\A0068936.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67e1d.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP304\A0068980.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d996ff.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP304\A0068981.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fe0.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP305\A0069096.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99707.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP305\A0069097.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fe8.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP305\A0069129.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99709.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP305\A0069130.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fea.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP305\A0069182.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9970b.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP305\A0069183.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fec.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP306\A0069214.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9970e.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP306\A0069215.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9970f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP307\A0069257.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99711.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP307\A0069258.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99712.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP308\A0069284.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99714.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP308\A0069285.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67ff5.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069350.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99718.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069352.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67ff9.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069369.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99719.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069370.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67ffa.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069387.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9971a.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069388.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67ffb.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069404.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9971c.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069405.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9971b.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069421.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67ffc.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069422.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9971d.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069438.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67ffd.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069439.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9971e.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069455.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67ffe.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP310\A0069456.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9971f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP311\A0069475.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fc0.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP311\A0069476.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99721.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP311\A0069494.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99720.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP311\A0069495.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fc1.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP311\A0069512.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fc2.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP311\A0069513.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99723.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP311\A0069524.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47d99722.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP312\A0069530.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fc4.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP312\A0069532.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99724.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP313\A0069554.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99726.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP313\A0069555.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99727.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP313\A0069573.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fc8.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP313\A0069574.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99729.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP314\A0069595.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9972a.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP314\A0069597.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fcb.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP314\A0069623.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9972b.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP314\A0069624.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fcc.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP316\A0069678.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9972f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP316\A0069679.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99730.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP316\A0070678.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99731.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP316\A0070679.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fd2.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP317\A0070714.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99734.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP317\A0070715.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fd5.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP318\A0070729.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99736.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP318\A0070730.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fd7.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP318\A0070751.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99737.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP318\A0070752.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fd8.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP319\A0070774.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99739.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP319\A0070775.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fda.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP320\A0070791.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9973b.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP320\A0070792.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fdc.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP320\A0070817.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9973c.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP320\A0070818.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9973d.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP320\A0070836.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fde.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP320\A0070837.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9973f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP322\A0071836.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99749.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP322\A0071837.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67faa.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0071859.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9974b.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0071860.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fac.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0071876.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9974c.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0071877.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fad.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0071993.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99751.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0071994.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fb2.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0072019.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99752.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0072020.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fb3.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0072036.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99754.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0072037.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99753.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0072052.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fb4.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP323\A0072053.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99755.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP324\A0072122.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99757.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP324\A0072123.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fb8.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP326\A0072254.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9975d.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP326\A0072255.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67fbe.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP326\A0072310.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9975f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP326\A0072311.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99760.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP326\A0072328.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f81.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP326\A0072329.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99762.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP329\A0072463.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99767.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP329\A0072464.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99768.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP329\A0072548.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9976a.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP329\A0072549.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9976b.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP330\A0072570.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9976d.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP330\A0072571.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f8e.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP331\A0072708.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99773.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP331\A0072709.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f94.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP333\A0072796.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99777.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP333\A0072797.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f98.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP333\A0072816.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99778.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP333\A0072817.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f99.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP334\A0072851.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9977b.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP334\A0072852.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f9c.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP335\A0072900.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9977e.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP335\A0072901.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f9f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP335\A0073900.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99740.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP335\A0073901.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9977f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP339\A0074900.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99786.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP339\A0074901.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f67.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP339\A0074935.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99788.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP339\A0074936.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f69.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP339\A0074956.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9978a.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP339\A0074957.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d99789.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP340\A0074994.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9978b.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP340\A0074995.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f6c.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP341\A0075021.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9978e.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP341\A0075022.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '46a67f6f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP341\A0075063.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '47d9978f.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP348\A0082089.exe
[DETECTION] Contains detection pattern of the worm WORM/Delf.CA
[INFO] The file was moved to '47d997aa.qua'!
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP350\A0082237.exe
[DETECTION] Is the Trojan horse TR/Agent.AGBR
[INFO] The file was moved to '47d997b4.qua'!
C:\WINDOWS\Config\System.exe
[DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
[INFO] The file was moved to '481c9865.qua'!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd8429.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <PRESARIO_RP>

End of the scan: mercredi 6 février 2008 12:49
Used time: 7:56:10 min

The scan has been done completely.

8856 Scanning directories
532315 Files were scanned
134 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
1 files were deleted
0 files were repaired
132 files were moved to quarantine
1 files were renamed
5 Files cannot be scanned
532181 Files not concerned
16508 Archives were scanned
5 Warnings
54 Notes

koolas · Answer

voila le rapport hijackthis; je n'ai pas fixé les lignes que tu ma dit hier , car elles n'y sont plus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:56, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\windows\system32nrwxpg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Conversions Plus\FORMATM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://fr.search.yahoo.com/?fr=cb-hp06
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwanalyze.jsp?record=ZLN00550166299650-1025/40f3ca7016f3673528f0017d5&tab=overview
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [rnrwxpg] c:\windows\system32nrwxpg.exe rnrwxpg
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\Conversions Plus\MacLic.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [McaFee virus detect program.] c:\Program Files\Network Associates\VirusScan\McaUpdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: MacName.lnk = C:\Program Files\Conversions Plus\MacName.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file:///C:/Program%20Files/AutoCAD%202002/AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file:///C:/Program%20Files/AutoCAD%202002/InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file:///C:/Program%20Files/AutoCAD%202002/InstFred.ocx
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file:///C:/Program%20Files/AutoCAD%202002/AcPreview.ocx
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MacFormatService - DataViz Inc. - C:\Program Files\Conversions Plus\FORMATM.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Qisqmxyaacf - Sonic Solutions - (no file)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

koolas · Answer

voici le rapport de bitfix

BTFix 1.072 (par bibi26) - 06/02/2008 13:41:12 - Analyse
Lancé depuis C:\Documents and Settings\Compaq_Propriétaire\Bureau\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

 - C:\Program Files\AskTBar\
 - C:\Program Files\daemontools_whenusavenow_installer\

---> Analyse terminée

j'attends ta reponse pour savoir ce que je dois faire

merci encore

noctambule28 · Answer

salut

alors pas de souics , cette grande liste de 134 virus n'est absolument pas active, et sera detruite avec une simple manip
en fait , les virus sont dans les points de restauration de windows, il suffira de les effacer, mais uniquement à la fin.
mais il reste encore des infections

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

a+

koolas · Answer

voici le resultat du scan, ( pendant le scan antivir a detecté des virus 2 ou 3 que j'ai mis en quarantaine):
Search Navipromo version 3.4.2 commencé le 06/02/2008 à 15:06:06,48

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


WebMediaPlayer
InternetGameBox 


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\InternetGameBox trouvé !
C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\MENUDM~1\PROGRA~1" *** 

...\InternetGameBox trouvé !
...\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

rnrwxpg.exe trouvé ! 
rnrwxpg.dat trouvé ! 
rnrwxpg_nav.dat trouvé ! 
rnrwxpg_navps.dat trouvé ! 

* Recherche dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

rnrwxpg.dat trouvé !
rnrwxpg_nav.dat trouvé !

* Dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 06/02/2008 à 15:24:38,31 ***

noctambule28 · Answer

ok, ça avance

en fait , j'ai oublié de te dire de couper antivir pendant le scan, il detecte navilog comme un virus, alors il faudrait que tu reinstalles navilog pour ettre sur qu'il soient complet et operationnel avant de passer à l'etape suivante, et que tu coupes antivir pendant que navilog travaille

---------------------

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.


post un autre hijackthis egalement

koolas · Answer

Voici le rapport
il n'y a plus la fenetre de kerio qui s'ouvre , donc a priorit sa été supprimé je suppose, jtenvoi un autre hijackthis ds 2min

 Clean Navipromo version 3.4.2 commencé le 06/02/2008 à 16:15:05,70

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

rnrwxpg.exe trouvé !
Copie rnrwxpg.exe réalisée avec succès !
rnrwxpg.exe supprimé !

rnrwxpg.dat trouvé !
Copie rnrwxpg.dat réalisée avec succès !
rnrwxpg.dat supprimé !

rnrwxpg_nav.dat trouvé !
Copie rnrwxpg_nav.dat réalisée avec succès !
rnrwxpg_nav.dat supprimé !

rnrwxpg_navps.dat trouvé !
Copie rnrwxpg_navps.dat réalisée avec succès !
rnrwxpg_navps.dat supprimé !

C:\WINDOWS\prefetchnrwxpg*.pf trouvé !
Copie C:\WINDOWS\prefetchnrwxpg*.pf réalisée avec succès !
C:\WINDOWS\prefetchnrwxpg*.pf supprimé !


* Suppression dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" * 



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\InternetGameBox ...suppression... 
C:\Program Files\InternetGameBox supprimé ! 

C:\Program Files\WebMediaPlayer ...suppression... 
C:\Program Files\WebMediaPlayer supprimé ! 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\application data" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\MENUDM~1\PROGRA~1" *** 

...\InternetGamebox ...suppression... 
...\InternetGamebox supprimé ! 

...\WebMediaPlayer ...suppression... 
...\WebMediaPlayer supprimé ! 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Compaq_Propri‚taire\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" * 


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 06/02/2008 à 16:18:55,54 ***

koolas · Answer

voici le hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:24:18, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Conversions Plus\FORMATM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Conversions Plus\MacName.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://fr.search.yahoo.com/?fr=cb-hp06
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwanalyze.jsp?record=ZLN00550166299650-1025/40f3ca7016f3673528f0017d5&tab=overview
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\Conversions Plus\MacLic.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [McaFee virus detect program.] c:\Program Files\Network Associates\VirusScan\McaUpdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: MacName.lnk = C:\Program Files\Conversions Plus\MacName.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file:///C:/Program%20Files/AutoCAD%202002/AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file:///C:/Program%20Files/AutoCAD%202002/InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file:///C:/Program%20Files/AutoCAD%202002/InstFred.ocx
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file:///C:/Program%20Files/AutoCAD%202002/AcPreview.ocx
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MacFormatService - DataViz Inc. - C:\Program Files\Conversions Plus\FORMATM.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Qisqmxyaacf - Sonic Solutions - (no file)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

noctambule28 · Answer

ok, ça marche, 

juste pour verifier, 

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Tuto
http://mickael.barroux.free.fr/securite/clean.php
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
a+

koolas · Answer

ok, le voila :
 06/02/2008 a 17:29:41,98 
 
*** Recherche des fichiers dans C: 
C:\autorun.inf FOUND 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32

noctambule28 · Answer

Redémarre ton PC en mode sans échec :
Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, envoie le moi dans ta prochaine réponse !

koolas · Answer

alors voila le rapport sans echec, apparemment sa na pas fonctionner?

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 06/02/2008 a 21:15:40,89 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
tentative de suppression de C:\autorun.inf 
Impossible de supprimer C:\autorun.inf  
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32

noctambule28 · Answer

je m'en doutais un peu :(


.
    * Téléchargez ce tool de sUBs : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
    * Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
    * Double-cliquez dessus et laissez-vous guider.
 
    * Ouvrez le dossier clean( ce que tu as utilisé precedement) qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire, choisissez l'option 2 et laissez vous guider.
    * Redémarre l'ordinateur en mode normal
    * Ouvrez le poste de travail
    * Clicquez sur le menu outils  en haut à droite puis options des dossiers
    * Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
    * Cochez dans la liste "Afficher les fichiers cachés"
    * Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
    * Vous allez recevoir un message disant que cela peut endommager le système, n'en tenez pas pas compte.
    * Ouvrez le poste de travail
    * Faites un clic droit sur le disque dur que vous n'arrivez pas à ouvrir
    * Choisissez ouvrir dans le menu déroulant.
    * Cherchez un fichier autorun.inf
    * Supprimez le en faisant un clic droit puis supprimer.
    * Répétez l'opération sur tous les disques que vous n'arrivez pas à ouvrir.

koolas · Answer

en faite j'arrive à ouvrir tous mes disques. J'ai mis un patch que j'ai telechargé sur le forum, il y a une semaine.  javais deja essayer de supprimer les fichiers autorun , mais il reviennent!

noctambule28 · Answer

téléchargr ComboFix ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Et enregistre le sur le bureau.
Regardes ici, si tu souhaites te familiariser avec son utilisation:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.
En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse faire.

Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

/!\ Pendant toute la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme et ne surfe pas sur le net. 
a+

koolas · Answer

voila le rapport, sa a fait qqchoz? ComboFix 08-02.05.3 - Compaq_Propriétaire 2008-02-06 22:59:55.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.573 [GMT 1:00] Endroit: C:\Documents and Settings\Compaq_Propriétaire\Bureau\ComboFix.exe * Création d'un nouveau point de restauration . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Compaq_Propriétaire\Bureau\internetgamebox.lnk C:\WINDOWS\system32\mfgzjnu_navfx.dat . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-06 to 2008-02-06 )))))))))))))))))))))))))))))))))))) . 2008-02-06 22:46 . 2008-02-06 22:46 917,504 --a------ C:\WINDOWS\system32\FLASH.OCX 2008-02-06 21:14 . 2008-02-06 22:45 326 --a------ C:\WINDOWS\system32\drivers\fwdrv.err 2008-02-06 15:04 . 2008-02-06 16:18 d-------- C:\Program Files\Navilog1 2008-02-06 04:04 . 2008-02-06 04:04 d-------- C:\Program Files\Sunbelt Software 2008-02-06 04:01 . 2008-02-06 04:01 d-------- C:\Program Files\Avira 2008-02-06 04:01 . 2008-02-06 04:01 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-02-06 02:46 . 2008-02-06 02:46 d-------- C:\Program Files\Trend Micro 2008-02-05 20:35 . 2008-02-05 20:35 d-------- C:\WINDOWS\system32\GroupPolicy 2008-02-05 20:35 . 2008-02-05 21:31 d-------- C:\Program Files\Hitman Pro 2008-01-16 19:03 . 2008-01-16 19:03 268 --ah----- C:\sqmdata06.sqm 2008-01-16 19:03 . 2008-01-16 19:03 244 --ah----- C:\sqmnoopt06.sqm 2008-01-15 16:44 . 2008-01-15 16:44 268 --ah----- C:\sqmdata05.sqm 2008-01-15 16:44 . 2008-01-15 16:44 244 --ah----- C:\sqmnoopt05.sqm 2008-01-12 02:22 . 2008-01-12 02:23 624 --a------ C:\WINDOWS\system32\acdb.err 2008-01-08 17:24 . 2008-01-08 17:24 d-------- C:\WINDOWS\system32\drivers\inc 2008-01-08 17:24 . 2008-01-08 17:24 d-------- C:\Program Files\Network Associates 2008-01-07 02:06 . 2008-01-24 00:00 d-------- C:\Program Files\PokerStars.NET . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-06 21:54 --------- d-----w C:\Documents and Settings\Compaq_Propriétaire\Application Data\WTablet 2008-02-06 03:19 --------- d-----w C:\Program Files\AskTBar 2008-02-05 19:48 --------- d-----w C:\Documents and Settings\Compaq_Propriétaire\Application Data\Azureus 2008-02-05 16:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-01-31 17:00 --------- d-----w C:\Program Files\Lexmark X1100 Series 2008-01-03 15:15 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-03 15:14 --------- d-----w C:\Program Files\eMule 2007-12-28 14:46 --------- d-----w C:\Program Files\Tablet 2007-12-12 13:29 --------- d-----w C:\Program Files\MSECache 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll 2007-02-07 14:50 180 ----a-w C:\Documents and Settings\Compaq_Propriétaire\Application Data\wklnhst.dat 2006-02-19 08:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-12 19:55 68856] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 04:04 249896] "Adobe Photo Downloader"="C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe" [2007-02-13 14:00 61440] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-01-25 03:15 7311360] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-03-10 18:45 35328] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-09-13 09:51 185632] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608] "RTHDCPL"="RTHDCPL.EXE" [2006-03-08 12:54 16010240 C:\WINDOWS\RTHDCPL.EXE] "Reminder"="C:\Windows\Creator\Remind_XP.exe" [2004-12-14 01:23 663552] "Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 21:14 237568] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54 282624] "PWRISOVM.EXE"="C:\Program Files\PowerISO\PWRISOVM.EXE" [2007-01-20 08:09 200704] "PCMService"="C:\Program Files\CyberLink\PowerCinema\PCMService.exe" [2006-02-25 01:46 147456] "nwiz"="nwiz.exe" [2006-01-25 03:15 1519616 C:\WINDOWS\system32 wiz.exe] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648] "MacLicense"="C:\Program Files\Conversions Plus\MacLic.exe" [2001-09-16 16:26 163904] "Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 15:48 57344] "KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44 61440] "HPBootOp"="C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 21:34 249856] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 05:11 49152] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ AutoCAD Startup Accelerator.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-03-05 13:43:54 11000] MacName.lnk - C:\Program Files\Conversions Plus\MacName.exe [2007-01-20 18:02:43 53317] Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-04-12 19:55:24 124912] WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-06-06 10:10:02 394856] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer un] "McaFee virus detect program."= c:\Program Files\Network Associates\VirusScan\McaUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg nrwxpg] c:\windows\system32 nrwxpg.exe R0 MacOpen;MacOpen;C:\WINDOWS\system32\drivers\MacOpen.sys [2001-09-16 16:24] R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-03-16 09:56] R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-03-16 09:56] R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 16:23] R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58] R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 05:08] R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 20:12] R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 19:30] R3 WacomVKHid;Virtual Keyboard Driver;C:\WINDOWS\system32\DRIVERS\WacomVKHid.sys [2007-02-16 01:11] S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-04-19 19:23] S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2002-09-06 19:34] S3 hitmanpro2;Hitman Pro 2 Driver;C:\Program Files\Hitman Pro\hitmanpro2.sys [2006-11-03 12:02] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\Install.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2e9a670-4585-11db-9fb5-001731cd4344}] \Shell\AutoRun\command - L:\qd.cmd \Shell\explore\Command - L:\qd.cmd \Shell\open\Command - L:\qd.cmd . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-02-04 16:31:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-02-06 20:45:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job" - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-06 23:04:46 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-02-06 23:06:27 ComboFix-quarantined-files.txt 2008-02-06 22:06:20 . 2008-01-29 00:23:17 --- E O F ---

noctambule28 · Answer

petit à petit ça nettoie, et fait apparaitre des choses ..

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

koolas · Answer

J'ai fait le scan, ms javais pas desactivé antivir, alors je c pas si sa va etre bon... sinon on reprend demain il fo ke jmen aille.
Merci pour ton aide si precieuse
a+ tard 

Search Navipromo version 3.4.2 commencé le 06/02/2008 à 23:58:15,84

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Compaq_Propriétaire\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Compaq_Propriétaire\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 07/02/2008 à  0:19:24,23 ***

noctambule28 · Answer

ok, 
à demain, ça va me laisser le temps de lire le rapport de combofix ( plus compliqué pour moi)

bonne soirée

edit : tu pourras remettre un hijackthis à l'occasion, stp

koolas · Answer

Salut, 
je suis contente, je n'ai plus de probleme de souris, plus de pub qui apparaissent, plus de probleme pour eteindre mon ordi, sa fait du bien de pouvoir utiliser mon pc normalement!!!Alors maintenant pour tout nettoyer je sais que c'est pas réglé, voici mon rapport hijackThis d'aujourd'hui, ou en sommes nous?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:52, on 07/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Conversions Plus\FORMATM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Conversions Plus\MacName.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://fr.search.yahoo.com/?fr=cb-hp06
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwanalyze.jsp?record=ZLN00550166299650-1025/40f3ca7016f3673528f0017d5&tab=overview
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\Conversions Plus\MacLic.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [McaFee virus detect program.] c:\Program Files\Network Associates\VirusScan\McaUpdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: MacName.lnk = C:\Program Files\Conversions Plus\MacName.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file:///C:/Program%20Files/AutoCAD%202002/AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file:///C:/Program%20Files/AutoCAD%202002/InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file:///C:/Program%20Files/AutoCAD%202002/InstFred.ocx
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file:///C:/Program%20Files/AutoCAD%202002/AcPreview.ocx
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MacFormatService - DataViz Inc. - C:\Program Files\Conversions Plus\FORMATM.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Qisqmxyaacf - Sonic Solutions - (no file)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

koolas · Answer

par contre, j'ai un petit probleme avec kerio lorsque j'envoi des pieces jointes à mes email, kerio m'affiche un message d'erreur comme quoi il n'arrive pas à se connecter ou qqchoz comme ca, et donc je n'arrive pas a joindre mes fichier... ??

noctambule28 · Answer

salut

un tuto pour kerio
https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6


le site de boulepate62
https://kerio.probb.fr/

tu peux toujours t'y inscrire pout y demander de l'aide , Boulepate sera en mesure de te guider pour la configuration du pare feu,.
------------------------------
 IMPORTANT,

sauvegarde ta base de registre avant de faire les manips ci dessous.

* télécharge ERUNT

https://www.zebulon.fr/telechargements/utilitaires/systeme-utilitaires/erunt.html
tuto
http://pageperso.aol.fr/loraline60/tuto_erunt.htm

puis



selectionne le texte suivant en gras

registry::

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rnrwxpg]


 * Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-note (programme>Accessoire>bloc-note).
* Colle le texte copié dans ce bloc-note (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

fait cela , ensuite je te fait faire le menage dans ta machine, avant de te liberer, lol

a+

koolas · Answer

sa marche pas :(
lorsque je depose cfscript.txt sur combofix, il ya un msg d'erreur 
" windows ne trouve pas C/windows/system32/kdm.exe.."

noctambule28 · Answer

bon, ce n'est pas genant , je vais te faire corriger la clé autrement, le fichier à deja disparu

donc, nous entamons le nettoyage

telecharge
regseeker , tu pourras le conserver, je le trouve tres utile

un tuto
https://www.zebulon.fr/dossiers/tutoriaux/53-regseeker.html


tu dois deja avoir ccleaner, mais au cas je te remet le liens 

ce qui suit est une procedure de nettoyage classique à faire regulierement
c'est un peu long mais efficace

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :

*Ad-Aware (gratuit)
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Tuto :
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

*Spybot (gratuit) :
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
voir demo d utilisation (merci Balltrap)
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

* AVG AS

AVG anti spyware
https://www.01net.com/telecharger/
Mets le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
->Lance AVG pour un scan complet "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
========================================
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
========================================
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
========================================
->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.


Lance regsseker , prends le temps de lire le tuto avant, et ne t'occupe pour l'instant que de la base de registre

========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,
--------------------------------------------------------------------------------

ceci est une verification ultime

- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :



https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes problèmes s’il t’en reste. 

ensuite je te fais supprimer tous les outils de desinfection que je t'ai fait utiliser

bon courage, à  plus tard

koolas · Answer

j'ai commencé à faire ce que tu me dis , mais c'est tres long... je ne vais pas pouvoir finir aujourd'hui, car je dois utilisés mon ordinateur pour finir du boulot pr demain... je reprendrais demain soir.
par contre je n'ai pas reussie à trouver"option des dossiers/affichage" au tout debut lorsque tu me dis d'aller dans  démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage...
Est ce normal qu'il n'apparaisse pas?
j'espere que je t'embete pas trop en tous cas je ne sais pas comment j'aurais fait sans ton aide!........:)

noctambule28 · Answer

tu reprends ça quand tu as le temps

mais reviens sur le forum, je dois encore te faire desinstaller des outils, et finaliser le nettoyage

a plus tard

Win 32 et autres soucis je crois...

52 réponses

Votre réponse

Discussions similaires

Newsletters