fenêtre

Question

Bonjour,
Depuis ce matin, dès que j'ouvre internet explorer, une fenêtre s'ouvre : il es ecrit avertissement de sécurité.Fichier ouvert. IL y a un nom de fichier, éditeur inconnu .Il semeblerait que ce soit un virus, car depuis, j'ai pleins de fenêtres de pub qui s'ouvrent, des trucs de jeu, que je n'avais pas avant. Je ne comprends pas grand chose à l'informatique, mais j'ai fait un nettoyage (contre les chevaux de Troie et sur les conseils de mon frère assez calé). Il m'à supprimé pleins de "merdes", mais il m'en reste et mon problème reste entier. Qui peut m'aider en m'expliquant assez simplement SVP. Merci beaucoup.

jfkpresident · Accepted Answer

celui ci date du 19/02 j'en veux un nouveau !

cgui33 · Answer

Salut

Navilog
Fais un clic droit sur ce lien : (IL-MAFIOSO) 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 

A+

cgui33 · Answer

Re
TOUT le texte du rapport 
A+

cgui33 · Answer

Re 
Tu sélectionnes tout le texte du rapport
Tu fais Ctrl C
Sur CCM tu réponds et tu fais CTRL V
Voilà
A+

lola 13 · Answer

Je te remercie, je vais essayer de me débrouiller dès demain, là, je me couche, je suis claquée et je me lève tôt.
Merci , à plus.

lola 13 · Answer

SALUT CGUI33
J'ai fait ce que tu m'as dit, mais l'orsque je fais un double clic sur navilog sur le bureau, la meme fenêtre s'ouvre en disant éditeur inconnu. Je clique cette fois sur exécuter, dois-je valider par mon autorisation  pour lancer l'installation ?  Désolée, je suis pas très douée en informatique ! je rame un peu !

cgui33 · Answer

Re
Oui tu ne risques rien ...
A+

lola 13 · Answer

Il y a un bug : je double clique sur le logo navilog1, le programme se lance  puis est stoppé : un nouvelle fenêtre s'ouvre : accès refusé;
erreur en entrée. ipossible de trouver le fichier script " C/getPaths-vbs". Pas reconnu en tant que demande interne ou externe;impossible de trouver  C/SetPaths.bat

lola 13 · Answer

Impossible de copier coller cette fenêtre !

cgui33 · Answer

Re 
Sous Vista (j'ai pas ..)
Mais je crois que : clic droit sur le lien et démarrer en tant que ... Administrateur.
A+

lola 13 · Answer

ça y est le scan est lançé ! ça marche avec clic droit et administrateur; ET après ?

cgui33 · Answer

Fais ce qui est décrit plus haut :
Attends le fin du scan
Sélectionne le texte du rapport et colle le dans ta prochaine réponse
A+

lola 13 · Answer

je n'arrive pas à copier le rapport, il ne se passe rien. Après clic droit, il je n'ai pas accès à "copier".

lola 13 · Answer

Search Navipromo version 3.4.5 commencé le 19/02/2008 à 16:11:03,09

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16609 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***


*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Recherche dossiers dans C:\Users\MARYLENE\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs ***


*** Recherche dossiers dans C:\Users\MARYLENE\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users\MARYLENE\AppData\Roaming ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\MARYLENE\AppData\Local\Microsoft *

* Recherche dans C:\Users\MARYLENE\AppData\Local\virtualstore\windows\system32 *

* Recherche dans C:\Users\MARYLENE\AppData\Local *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\Windows\system32 :


* Dans C:\Users\MARYLENE\AppData\Local\Microsoft :


* Dans C:\Users\MARYLENE\AppData\Local\virtualstore\windows\system32 :


* Dans C:\Users\MARYLENE\AppData\Local :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 19/02/2008 à 16:22:37,71 ***
Voila le apport, j'ai fini par y arriver !!

lola 13 · Answer

Et qu'est-ce qui se passe maintenant que tu as le rapport ?

cgui33 · Answer

Re
Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis. 

Enregistre HJTInstall.exe sur ton bureau. 
Double-clique sur HJTInstall.exe pour lancer le programme 
Installe le programmme sur c:\ et lance le 
Choisis l'option "Do a system scan and save a log file" 
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note 
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport 
Colle le rapport 
A+

lola 13 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:07, on 19/02/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Windows\System32undll32.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe
C:\Windows\System32undll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe
C:\Windows\system32\conime.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Windows
otepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: BrowsingProgram - {F8EACE56-0AF4-3AE3-6EF8-F8CC39675729} - C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Program Files\Common Files\Protexis\License Service\PSIService.exe

cgui33 · Answer

RE

Je ne vois rien sur le rapport Hijack ...

CCleaner  avec un tuto pour l'aide 
https://forums.cnetfrance.fr
Lors de son installation décoche la case devant : Ajouter la Barre d'Outils Yahoo! CCleaner

Tu peux t'en servir souvent !

Comment se comporte ton PC ?
Quels sont les messages d'erreur ?
A+

lola 13 · Answer

après mon double clic sur le logo, une fenetre s'est ouverte.Plusieurschoses sont cochées : 
Interent explorer, avec cookies,historique, urls... ensuite Windows explorer, avec documents récents, saisie automatique de la recherche, autre recherche MRUs.  a droite 2 possibilités : analyse et lancer le nettoyage. Au secours, je fais quoi ? merci pour ta patience !

cgui33 · Answer

Re
Tu laisses tout par défaut
Tu fais analyse
Ensuite tu fais nettoyage
A+

lola 13 · Answer

En lançant le nettoyage, ne risque-il pas de supprimer des fichiers importants, que je veux garder ? que sont tous ces fichiers dont je ne connais que la moitié des noms ?

lola 13 · Answer

que sont tous ces fichiers ? Est-ce que ça ne risque rien de les supprimer,ne sont-ils pas des fichiers que je voulais conserver ?

cgui33 · Answer

Re
Normalement tu peux tout nettoyer.
Si tu trouves des noms de fichiers que tu connais (perso) alors décoches la case qui est en début de ligne.
A+

lola 13 · Answer

après le nettoyage de ccleaner, j'ai essayé de lancer internet, mais ma fenetre s'ouvre toujours ! As-tu d'autres ressources ??

cgui33 · Answer

Re
Quelle genre de fenêtre ?
A+

lola 13 · Answer

la même que celle du début : fichier ouvert, avertissement de sécurité ;

cgui33 · Answer

Re
Le message n'est pas très explicite ...
Je demande de l'aide.
On ne te laisse pas tomber !
A+

lola 13 · Answer

merci beaucoup !

cgui33 · Answer

Re
Est ce que ça ressemble à ça ?
https://imageshack.com/
clic sur la petite fenêtre pour l'agrandir.

Si oui décoches : Toujours demander avant d'ouvrir ce fichier et clique sur Exécuter.
Donnes moi le nom du fichier 
Merci 
A+

lola 13 · Answer

c'est exactement  la même fenêtre, mais je crois avoir remarqué que le fichier n'est pas toujours le même. Là c'est
NE/AppData/local/temp/low/updD190.tmp.exe . 
.................................. upd9932.tmp.exe
.................................. d98F3.tmp.exe
................................... A3BC.tmp.exe; comme tu voies des fois j'en ai pluisieurs superposées les unes sur les autres.
Mais je n'ai pas compris où je trouvais la case à décocher ! désolée !

cgui33 · Answer

Re
De toute façons ces fichiers ne m'inspirent pas confiance !
Ne décoche surtout pas la case pour l'instant.
Je regarde d'un peu plus près ...
A+

cgui33 · Answer

Re

Peux tu me donner le chemin complet de ces fichiers ?
Ex : C:\........................\UPD190.tmp.exe
Ensuite regarde avec l'explorateur dans le répertoire en question, combien tu en as de ces fichiers  !!!
Recherche *.tmp.exe
A+

lola 13 · Answer

C:/Users/MARYLENE/AppData/local/temp/low et les lettres et chiffres que je t'ai indiqué; Les / sont dans l'autre sens!
tant pis je me jette à l'eau : c'est quoi l'explorateur ?

cgui33 · Answer

Re
C'est le logiciel qui te permet de visualiser tous tes disques, répertoires et fichiers de ton PC.
Il est surement en icone sur ton bureau
Ou alors dans démarrer --> Programmes ...

A+

cgui33 · Answer

Re
On va essayer ça :
spybot 
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
un tuto pour l'aide 
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/

A+

lola 13 · Answer

c'est bien ce qu'il me semblait, alors c'est ce que je viens de lancer

cgui33 · Answer

N'oublie pas Spybot

lola 13 · Answer

Installation terminée. Je suppose que je dois lancer l'analyse ?

cgui33 · Answer

Bien sûr !

lola 13 · Answer

Le scan à trouvé un élément nommé "virtumonde", je l'ai supprimé ! et maintenant? Que vais-je faire ?  de tout ce ....

cgui33 · Answer

Re
Sélectionne la ligne suivante :

DEL C:/Users/MARYLENE/AppData/local/temp/low/*.tmp.exe
Clic droit --> Copier

Ensuite : Démarrer --> Exécuter 
Dans la petite fenêtre : Clic droit --> coller
et Valide

A+

lola 13 · Answer

je suppose que c'est pour rechercher les fichier dans mon PC. Désolée, mais il n'a rien trouvé, ou alors j'ai pas bien fait. J'ai coller en bas de la liste de tous les programmes, dans démarrer. Je suppose qu'il n'y a pas 50 solutions ! RIEN, aucun élément trouvé ! texto !

cgui33 · Answer

Re
 Quoiqu'il arrive :
Télécharge Silent Runners
Lance le et attends la fenêtre t'indiquant que le rapport est complet 
(Startup Programs ...TXT) dans le répertoire de lancement. 
Poste le rapport 

A demain

cgui33 · Answer

Re
Tu as eu un message te l'indiquant ?
Car en fait c'était pour les supprimer !
A+

lola 13 · Answer

"Silent Runners.vbs", revision 55, https://www.silentrunners.org/ Operating System: Windows Vista Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Sidebar" = "C:\Program Files\Windows Sidebar\sidebar.exe /autoRun" [MS] "IncrediMail" = "C:\Program Files\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."] "WMPNSCFG" = "C:\Program Files\Windows Media Player\WMPNSCFG.exe" [MS] "SpybotSD TeaTimer" = "C:\Menu Démarrer\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Windows Defender" = "C:\Program Files\Windows Defender\MSASCui.exe -hide" "AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."] "NvSvc" = "RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart" [MS] "NvCplDaemon" = "RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit" [MS] "SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "Adobe Reader Speed Launcher" = ""C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "ISUSScheduler" = ""C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Aide pour le lien d'Adobe PDF Reader" \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\Menu Démarrer\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."] {F8EACE56-0AF4-3AE3-6EF8-F8CC39675729}\(Default) = (no title provided) -> {HKLM...CLSID} = "BrowsingProgram" \InProcServer32\(Default) = "C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll" [empty string] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] "{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension" -> {HKLM...CLSID} = "AVG7 Find Extension Class" \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\Windows\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\Windows\system32\nvcpl.dll" ["NVIDIA Corporation"] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Mes dossiers de partage" \InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "Composant d'extension Shell de CorelDRAW" -> {HKLM...CLSID} = "CorelDRAW Shell Extension Component" \InProcServer32\(Default) = "C:\Program Files\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" [null data] HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "ConsentPromptBehaviorAdmin" = (REG_DWORD) dword:0x00000002 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Behavior Of The Elevation Prompt For Administrators In Admin Approval Mode} "ConsentPromptBehaviorUser" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Behavior Of The Elevation Prompt For Standard Users} "EnableInstallerDetection" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Detect Application Installations And Prompt For Elevation} "EnableLUA" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Run All Administrators In Admin Approval Mode} "EnableSecureUIAPaths" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Only elevate UIAccess applications that are installed in secure locations} "EnableVirtualization" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Virtualize file and registry write failures to per-user locations} "PromptOnSecureDesktop" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Conrol: Switch to the secure desktop when prompting for elevation} "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "FilterAdministratorToken" = (REG_DWORD) dword:0x00000000 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Admin Approval Mode for the Built-in Administrator Account} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Windows\Web\Wallpaper\img34.jpg" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Windows\Web\Wallpaper\img34.jpg" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\Windows\system32\ssText3d.scr" [MS] Startup items in "MARYLENE" & "All Users" startup folders: ---------------------------------------------------------- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup "Outil de mise à jour Google" -> shortcut to: "C:\Program Files\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\system32\NLAapi.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\system32\napinsp.dll" [MS] 000000000005\LibraryPath = "%SystemRoot%\system32\pnrpnsp.dll" [MS] 000000000006\LibraryPath = "%SystemRoot%\system32\pnrpnsp.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 14 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Console Java (Sun)" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search && Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\Menu Démarrer\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] HOSTS file ---------- C:\Windows\System32\drivers\etc\HOSTS maps: 2 domain names to IP addresses, 1 of the IP addresses is *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Acquisition d'image Windows (WIA), stisvc, "C:\Windows\system32\svchost.exe -k imgsvc" {"C:\Windows\System32\wiaservc.dll" [MS]} Ad-Aware 2007 Service, aawservice, ""C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"] AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."] AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."] AVG7 Resident Shield Service, AvgCoreSvc, "C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe" ["GRISOFT, s.r.o."] AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."] Salut Est-ce cela que tu attendais ? ça a été super rapide, je n'ai rien compris !

lola 13 · Answer

"Silent Runners.vbs", revision 55, https://www.silentrunners.org/ Operating System: Windows Vista Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Sidebar" = "C:\Program Files\Windows Sidebar\sidebar.exe /autoRun" [MS] "IncrediMail" = "C:\Program Files\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."] "WMPNSCFG" = "C:\Program Files\Windows Media Player\WMPNSCFG.exe" [MS] "SpybotSD TeaTimer" = "C:\Menu Démarrer\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Windows Defender" = "C:\Program Files\Windows Defender\MSASCui.exe -hide" "AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."] "NvSvc" = "RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart" [MS] "NvCplDaemon" = "RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit" [MS] "SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "Adobe Reader Speed Launcher" = ""C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "ISUSScheduler" = ""C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Aide pour le lien d'Adobe PDF Reader" \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\Menu Démarrer\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."] {F8EACE56-0AF4-3AE3-6EF8-F8CC39675729}\(Default) = (no title provided) -> {HKLM...CLSID} = "BrowsingProgram" \InProcServer32\(Default) = "C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll" [empty string] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] "{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension" -> {HKLM...CLSID} = "AVG7 Find Extension Class" \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\Windows\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\Windows\system32\nvcpl.dll" ["NVIDIA Corporation"] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Mes dossiers de partage" \InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "Composant d'extension Shell de CorelDRAW" -> {HKLM...CLSID} = "CorelDRAW Shell Extension Component" \InProcServer32\(Default) = "C:\Program Files\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" [null data] HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\ <> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "ConsentPromptBehaviorAdmin" = (REG_DWORD) dword:0x00000002 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Behavior Of The Elevation Prompt For Administrators In Admin Approval Mode} "ConsentPromptBehaviorUser" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Behavior Of The Elevation Prompt For Standard Users} "EnableInstallerDetection" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Detect Application Installations And Prompt For Elevation} "EnableLUA" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Run All Administrators In Admin Approval Mode} "EnableSecureUIAPaths" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Only elevate UIAccess applications that are installed in secure locations} "EnableVirtualization" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Virtualize file and registry write failures to per-user locations} "PromptOnSecureDesktop" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Conrol: Switch to the secure desktop when prompting for elevation} "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "FilterAdministratorToken" = (REG_DWORD) dword:0x00000000 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| User Account Control: Admin Approval Mode for the Built-in Administrator Account} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Windows\Web\Wallpaper\img34.jpg" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Windows\Web\Wallpaper\img34.jpg" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\Windows\system32\ssText3d.scr" [MS] Startup items in "MARYLENE" & "All Users" startup folders: ---------------------------------------------------------- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup "Outil de mise à jour Google" -> shortcut to: "C:\Program Files\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\system32\NLAapi.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\system32\napinsp.dll" [MS] 000000000005\LibraryPath = "%SystemRoot%\system32\pnrpnsp.dll" [MS] 000000000006\LibraryPath = "%SystemRoot%\system32\pnrpnsp.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 14 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Console Java (Sun)" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search && Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\Menu Démarrer\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] HOSTS file ---------- C:\Windows\System32\drivers\etc\HOSTS maps: 2 domain names to IP addresses, 1 of the IP addresses is *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Acquisition d'image Windows (WIA), stisvc, "C:\Windows\system32\svchost.exe -k imgsvc" {"C:\Windows\System32\wiaservc.dll" [MS]} Ad-Aware 2007 Service, aawservice, ""C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"] AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."] AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."] AVG7 Resident Shield Service, AvgCoreSvc, "C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe" ["GRISOFT, s.r.o."] AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."] Salut Est-ce cela que tu attendais ? ça a été super rapide, je n'ai rien compris !

cgui33 · Answer

Re
Bon finalement, ça ressemble au virus NIMDA ... récupére par mail !
(J'examinerai le rapport silent runners quand même au cas où !)

Dans l'explorateur :
Outils 
Option des dossiers
Affichage
Décocher : Masquer les extensions des fichiers dont le type est connu

Ensuite dans l'explorateur recherche le fichier system.ini
Normalement dans C:\windows
clic droit --> Ouvrir avec bloc-notes

Poste tout le contenu dans ton prochain post.
(Copier-coller)

A ce soir

lola 13 · Answer

; for 16-bit app support
[386Enh]
woafont=dosapp.fon
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
J'ai galéré pendant au moins  une demi heure, mais je crois que j'ai fini par y arriver, enfin j'espère !!! dis moi que c'est bien ça ! Merci a plus.

cgui33 · Answer

Re 
es tu sûr qu'il est complet ?
A+

lola 13 · Answer

Je viens de controler, et refaire la manoeuvre, c'est tout ce qu'il y a !

cgui33 · Answer

Re
Ce n'est pas le même post que le 41
Sélectionne la ligne suivante :

DEL C:\Users\MARYLENE\AppData\local	emp\low\*.tmp.exe
Clic droit --> Copier

Ensuite : Démarrer --> Exécuter
Dans la petite fenêtre : Clic droit --> coller
et Valide

A+

lola 13 · Answer

La recherche n'a rien donné. Si j'ai bien compris tu voulais que je retrouve ce fichier à l'aide de l'explorateur ? Néant. "aucun élément ne correspond à votre recherche", c'est ce qu'il me dit !

cgui33 · Answer

Non
Pas avec l'explorateur !
Démarrer : En bas à gauche de ton écran (clic gauche)
Ensuite sélectionner : Exécuter (un case blanche doit apparaitre )
Supprime ce qu'il y a à l'intérieur et copie la ligne que je t'ai demandé de sélectionner !
Ensuite valide (entrée, Enter ...)

Je te prépare un autre post pour continuer ...
A+

lola 13 · Answer

Désolée mais une fenêtre s'ouvre et me dit : "Windows ne trouve pas  "le ficher en question". Vérifiez que vous avez entré le nom correst, puis rééssayez. C'est ce que j'ai fait 3 fois, mais sans résultat.

cgui33 · Answer

Re

Sélectionne les 4 lignes suivantes (seulement ça  !)

DEL Liste_Low.txt
DIR C:\Users\MARYLENE\AppData\local	emp\low\*.tmp.exe > Liste_Low.txt
DIR C:\Users\MARYLENE\AppData\local	emp\low\*.tmp.exe /ah >> Liste_Low.txt
DIR C:\Users\MARYLENE\AppData\local	emp\low\*.tmp.exe /as >> Liste_Low.txt

Clic droit --> copier
Ensuite cliic droit (sur le bureau)
Nouveau --> fichier texte seulement  (Résultat : Nouvelle icone sur le bureau)
Clic droit --> Ouvrir avec --> Bloc notes
Coller les lignes (clic droit --> coller)
Sauvegarder le fichier sous : Dir_Low.bat
Ensuite :
Double clic sur ce raccourci créé (Dir_Low.bat)
une seconde après une nouvelle icone doit apparaitre : Liste_Low.txt
Clic droit dessus --> Ouvrir Avec --> Bloc notes
Sélectionne TOUT le texte 
Clic droit --> copier 
Colle le texte dans ton nouveau post

Merci
A+

lola 13 · Answer

Le volume dans le lecteur C s'appelle OS
 Le num‚ro de s‚rie du volume est 84CA-82A1

 R‚pertoire de C:\Users\MARYLENE\AppData\local	emp\low

20/02/2008  13:47           646ÿ792 upd101B.tmp.exe
20/02/2008  13:47           646ÿ792 upd123E.tmp.exe
18/02/2008  19:19           646ÿ792 upd12A7.tmp.exe
18/02/2008  23:21           646ÿ792 upd1412.tmp.exe
18/02/2008  10:08           646ÿ792 upd148.tmp.exe
20/02/2008  15:23           646ÿ792 upd17AC.tmp.exe
18/02/2008  18:50           646ÿ792 upd1A6D.tmp.exe
18/02/2008  23:26           646ÿ792 upd1B44.tmp.exe
18/02/2008  18:10           646ÿ792 upd1F10.tmp.exe
18/02/2008  18:59           646ÿ792 upd201D.tmp.exe
19/02/2008  23:36           646ÿ792 upd2442.tmp.exe
18/02/2008  18:59           646ÿ792 upd24B0.tmp.exe
18/02/2008  18:11           646ÿ792 upd2595.tmp.exe
19/02/2008  23:36           646ÿ792 upd2617.tmp.exe
18/02/2008  18:50           646ÿ792 upd27F5.tmp.exe
19/02/2008  21:28           646ÿ792 upd2817.tmp.exe
19/02/2008  21:28           646ÿ792 upd2C0E.tmp.exe
18/02/2008  19:07           646ÿ792 upd2D66.tmp.exe
19/02/2008  21:29           646ÿ792 upd2FA6.tmp.exe
18/02/2008  19:07           646ÿ792 upd3034.tmp.exe
19/02/2008  21:29           646ÿ792 upd3081.tmp.exe
19/02/2008  23:17           646ÿ792 upd361.tmp.exe
18/02/2008  18:52           646ÿ792 upd383.tmp.exe
20/02/2008  10:43           646ÿ792 upd3DB6.tmp.exe
20/02/2008  13:36           646ÿ792 upd3EB9.tmp.exe
18/02/2008  22:05           646ÿ792 upd4099.tmp.exe
20/02/2008  10:40           646ÿ792 upd40A0.tmp.exe
20/02/2008  13:36           646ÿ792 upd40FB.tmp.exe
18/02/2008  19:13           646ÿ792 upd445F.tmp.exe
20/02/2008  15:28           646ÿ792 upd448D.tmp.exe
18/02/2008  18:47           646ÿ792 upd44E.tmp.exe
18/02/2008  19:13           646ÿ792 upd45E6.tmp.exe
18/02/2008  18:52           646ÿ792 upd45F.tmp.exe
19/02/2008  10:00           646ÿ792 upd48A5.tmp.exe
19/02/2008  10:00           646ÿ792 upd4C9C.tmp.exe
19/02/2008  23:19           646ÿ792 upd526C.tmp.exe
19/02/2008  21:33           646ÿ792 upd52A0.tmp.exe
19/02/2008  21:33           646ÿ792 upd537C.tmp.exe
18/02/2008  15:36           646ÿ792 upd568F.tmp.exe
18/02/2008  15:36           646ÿ792 upd57F7.tmp.exe
18/02/2008  22:39           646ÿ792 upd5B49.tmp.exe
18/02/2008  22:39           646ÿ792 upd5BB7.tmp.exe
18/02/2008  15:37           646ÿ792 upd5EC9.tmp.exe
19/02/2008  20:42           646ÿ792 upd5FC9.tmp.exe
18/02/2008  15:37           646ÿ792 upd6040.tmp.exe
19/02/2008  20:42           646ÿ792 upd6047.tmp.exe
19/02/2008  23:10           646ÿ792 upd6286.tmp.exe
19/02/2008  21:31           646ÿ792 upd63B0.tmp.exe
18/02/2008  22:45           646ÿ792 upd63E1.tmp.exe
19/02/2008  00:02           646ÿ792 upd64DC.tmp.exe
18/02/2008  22:45           646ÿ792 upd6529.tmp.exe
18/02/2008  18:43           646ÿ792 upd659F.tmp.exe
19/02/2008  09:59           646ÿ792 upd6652.tmp.exe
19/02/2008  21:31           646ÿ792 upd666F.tmp.exe
18/02/2008  23:49           646ÿ792 upd6671.tmp.exe
18/02/2008  23:49           646ÿ792 upd671E.tmp.exe
19/02/2008  10:01           646ÿ792 upd678A.tmp.exe
19/02/2008  09:59           646ÿ792 upd6827.tmp.exe
18/02/2008  18:43           646ÿ792 upd6968.tmp.exe
19/02/2008  10:01           646ÿ792 upd699D.tmp.exe
20/02/2008  15:26           646ÿ792 upd6A14.tmp.exe
19/02/2008  18:47           646ÿ792 upd6E28.tmp.exe
19/02/2008  18:47           646ÿ792 upd6F71.tmp.exe
18/02/2008  18:12           646ÿ792 upd702C.tmp.exe
18/02/2008  20:48           646ÿ792 upd70FA.tmp.exe
18/02/2008  20:48           646ÿ792 upd7436.tmp.exe
18/02/2008  10:23           646ÿ792 upd7501.tmp.exe
18/02/2008  10:23           646ÿ792 upd7715.tmp.exe
18/02/2008  19:23           646ÿ792 upd7A8C.tmp.exe
20/02/2008  09:31           646ÿ792 upd7C11.tmp.exe
19/02/2008  19:30           646ÿ792 upd7C55.tmp.exe
18/02/2008  19:23           646ÿ792 upd7D7A.tmp.exe
19/02/2008  19:26           646ÿ792 upd7FCB.tmp.exe
18/02/2008  18:47           646ÿ792 upd807.tmp.exe
20/02/2008  09:31           646ÿ792 upd816F.tmp.exe
19/02/2008  19:34           646ÿ792 upd8231.tmp.exe
18/02/2008  19:19           646ÿ792 upd82A.tmp.exe
18/02/2008  18:46           646ÿ792 upd857E.tmp.exe
18/02/2008  18:46           646ÿ792 upd86A8.tmp.exe
19/02/2008  21:25           646ÿ792 upd89F5.tmp.exe
20/02/2008  10:41           646ÿ792 upd8C1.tmp.exe
19/02/2008  21:25           646ÿ792 upd8E59.tmp.exe
19/02/2008  19:27           646ÿ792 upd8E9B.tmp.exe
18/02/2008  19:13           646ÿ792 upd9443.tmp.exe
18/02/2008  19:14           646ÿ792 upd96C3.tmp.exe
18/02/2008  23:23           646ÿ792 upd9878.tmp.exe
19/02/2008  23:42           646ÿ792 upd98B8.tmp.exe
19/02/2008  21:55           646ÿ792 upd98F3.tmp.exe
19/02/2008  21:55           646ÿ792 upd9932.tmp.exe
18/02/2008  23:23           646ÿ792 upd9B09.tmp.exe
18/02/2008  19:15           646ÿ792 upd9C0.tmp.exe
19/02/2008  21:24           646ÿ792 upd9DE.tmp.exe
19/02/2008  23:49           646ÿ792 upd9F1C.tmp.exe
19/02/2008  23:49           646ÿ792 updA016.tmp.exe
19/02/2008  19:43           646ÿ792 updA2B1.tmp.exe
19/02/2008  09:42           646ÿ792 updA544.tmp.exe
19/02/2008  09:42           646ÿ792 updA584.tmp.exe
19/02/2008  19:43           646ÿ792 updA8AA.tmp.exe
20/02/2008  15:28           646ÿ792 updA9A6.tmp.exe
18/02/2008  10:25           646ÿ792 updAA63.tmp.exe
18/02/2008  19:26           646ÿ792 updAA71.tmp.exe
18/02/2008  15:38           646ÿ792 updAA88.tmp.exe
19/02/2008  18:41           646ÿ792 updAAE4.tmp.exe
18/02/2008  22:05           646ÿ792 updAB9.tmp.exe
18/02/2008  10:25           646ÿ792 updACA5.tmp.exe
18/02/2008  19:08           646ÿ792 updAD10.tmp.exe
19/02/2008  09:27           646ÿ792 updAD11.tmp.exe
18/02/2008  19:08           646ÿ792 updAD21.tmp.exe
18/02/2008  15:38           646ÿ792 updAE8E.tmp.exe
18/02/2008  19:26           646ÿ792 updAF24.tmp.exe
18/02/2008  23:52           646ÿ792 updAFA1.tmp.exe
18/02/2008  22:01           646ÿ792 updB08A.tmp.exe
18/02/2008  23:52           646ÿ792 updB147.tmp.exe
19/02/2008  21:35           646ÿ792 updB375.tmp.exe
19/02/2008  21:35           646ÿ792 updB395.tmp.exe
19/02/2008  23:54           646ÿ792 updB451.tmp.exe
18/02/2008  10:08           646ÿ792 updB48.tmp.exe
19/02/2008  23:54           646ÿ792 updB53C.tmp.exe
20/02/2008  10:41           646ÿ792 updB65C.tmp.exe
19/02/2008  09:27           646ÿ792 updB73F.tmp.exe
18/02/2008  19:17           646ÿ792 updB8F2.tmp.exe
18/02/2008  22:05           646ÿ792 updB930.tmp.exe
18/02/2008  19:17           646ÿ792 updBAE7.tmp.exe
18/02/2008  19:15           646ÿ792 updBC4.tmp.exe
20/02/2008  10:40           646ÿ792 updBC63.tmp.exe
18/02/2008  22:05           646ÿ792 updBC7C.tmp.exe
20/02/2008  15:25           646ÿ792 updBDBE.tmp.exe
19/02/2008  23:15           646ÿ792 updC052.tmp.exe
19/02/2008  19:34           646ÿ792 updC0A6.tmp.exe
19/02/2008  23:15           646ÿ792 updC1E9.tmp.exe
19/02/2008  19:38           646ÿ792 updC1F0.tmp.exe
20/02/2008  15:26           646ÿ792 updC4F1.tmp.exe
19/02/2008  21:26           646ÿ792 updC82D.tmp.exe
19/02/2008  21:26           646ÿ792 updC985.tmp.exe
18/02/2008  19:01           646ÿ792 updC9C3.tmp.exe
18/02/2008  19:01           646ÿ792 updCA9F.tmp.exe
18/02/2008  19:12           646ÿ792 updCBE6.tmp.exe
18/02/2008  19:12           646ÿ792 updCC63.tmp.exe
19/02/2008  21:47           646ÿ792 updCCE2.tmp.exe
19/02/2008  21:51           646ÿ792 updCD3C.tmp.exe
20/02/2008  15:23           646ÿ792 updD01.tmp.exe
19/02/2008  21:51           646ÿ792 updD190.tmp.exe
18/02/2008  18:21           646ÿ792 updD2C3.tmp.exe
18/02/2008  18:21           646ÿ792 updD3BD.tmp.exe
18/02/2008  19:10           646ÿ792 updD5C5.tmp.exe
19/02/2008  19:29           646ÿ792 updD684.tmp.exe
19/02/2008  23:17           646ÿ792 updDC9F.tmp.exe
19/02/2008  21:48           646ÿ792 updDCA7.tmp.exe
18/02/2008  19:11           646ÿ792 updDD64.tmp.exe
18/02/2008  23:07           646ÿ792 updDE13.tmp.exe
19/02/2008  21:48           646ÿ792 updDFE2.tmp.exe
18/02/2008  10:25           646ÿ792 updE2E0.tmp.exe
18/02/2008  10:25           646ÿ792 updE689.tmp.exe
19/02/2008  21:49           646ÿ792 updE9F4.tmp.exe
19/02/2008  23:36           646ÿ792 updEBC4.tmp.exe
19/02/2008  23:36           646ÿ792 updEC42.tmp.exe
18/02/2008  23:25           646ÿ792 updEC67.tmp.exe
20/02/2008  09:32           646ÿ792 updED2B.tmp.exe
20/02/2008  13:38           646ÿ792 updED8D.tmp.exe
20/02/2008  13:38           646ÿ792 updF09A.tmp.exe
18/02/2008  10:24           646ÿ792 updF0C5.tmp.exe
20/02/2008  09:32           646ÿ792 updF151.tmp.exe
18/02/2008  10:24           646ÿ792 updF25C.tmp.exe
18/02/2008  18:07           646ÿ792 updF39D.tmp.exe
18/02/2008  19:26           646ÿ792 updF4CA.tmp.exe
18/02/2008  19:26           646ÿ792 updF603.tmp.exe
19/02/2008  21:47           646ÿ792 updFC4E.tmp.exe
19/02/2008  21:24           646ÿ792 updFC66.tmp.exe
18/02/2008  23:52           646ÿ792 updFE01.tmp.exe
             169 fichier(s)      109ÿ307ÿ848 octets
               0 R‚p(s)  226ÿ170ÿ589ÿ184 octets libres
 Le volume dans le lecteur C s'appelle OS
 Le num‚ro de s‚rie du volume est 84CA-82A1

 R‚pertoire de C:\Users\MARYLENE\AppData\local	emp\low

 Le volume dans le lecteur C s'appelle OS
 Le num‚ro de s‚rie du volume est 84CA-82A1

 R‚pertoire de C:\Users\MARYLENE\AppData\local	emp\low

Voici ta nouvelle lecture !

cgui33 · Answer

OK
Lance l'explorateur
Dans la partie de gauche, sélectionne (clic droit une fois) :
C:
Users
MARYLENE
AppData
Local
temp

Dans la partie de droite tu devrais voir apparaitre plusieurs répertoires et/ou fichiers
Sélectionne le répertoire Low (clic droit une seule fois )

Ensuite : touche Supprime et valide

Redémarre ton PC (ou une session) et dis moi ce qui se passe
A+

lola 13 · Answer

Après avoir redémarré,  j'ai voulu contrôler la disparition du fichier, il était toujours là. Pourtant lorsque je le supprime, il disparait.: il se restaure tout seul chaque fois. J'ai essayé de l'ouvrir et supprimer les éléments un par un,(ils se suppriment)  redémarrer, mais rebelote, il s'était restauré. Je desespère !

cgui33 · Answer

Re
Bon clic droit c'est par terrible ... 

Dans la partie de gauche, clic gauche sur le + devant disque local C
clic gauche sur le + devant Users
clic gauche sur le + devant MARYLENE
clic gauche sur le + devant AppData
clic gauche sur le + devant Local
clic gauche sur le + devant temp

Dans la partie de droite tu devrais voir apparaitre plusieurs répertoires et/ou fichiers
Sélectionne le répertoire Low (clic gauche une seule fois )

Ensuite : touche Supprime et valide

A+

cgui33 · Answer

Re
Je viens de lancer un ultime appel au secours !
Ne désespère pas ...
A+

lola 13 · Answer

j'ai quand même un soucis: dans l'explorateur, ça ne se présente pas comme tu dis : je n'ai pas le C, ni Users, j'ai MARYLENE, mais si je cilque j'ai plein de dossiers. Sinon, ça commence à AppData. Maids j'ai pas de + devant les noms, mais des dossiers. Mais j'arrive bien au meme endroit. (puisque je suis dans ma session)

cgui33 · Answer

Re
Oui je me doute (c'est Vista ... )
Mais tu as raison, si tu arrives au même résultat !
A+

lola 13 · Answer

Je te donne du fil à retordre ! j'ai compris ce que tu voulais dire. En cliquant devant c'est des mini flèches, ça ouvre les dossiers inclus. J'ai rééssayé mais le fichier est REvenu tout seul ! Quelle merde ! Tu crois qu'il existe une solution ?

cgui33 · Answer

Re
Va voir ici

Fais plusieurs scan en ligne ( accepte l'installation des activeX si demandé)

Dis moi s'ils trouvent quelque chose.
A+

cgui33 · Answer

En fait il y a une m.... qui réinstalle ces fichiers !
Mais je ne la trouve pas !
On va y arriver ... peut-être 
Question : Depuis combien de temps as tu ce problème ?
A+

lola 13 · Answer

Je m'occuperai de tout ça dès demain matin. J'aurai tout la journée pour les faire. Je voudrais faire une pause et me coucher pa trop  tard. Je te raconterai demain soir si tu es d'accord. OK ? Merci . Pour répondre à ta question tout à commencé lundi matin, quan j'ai ouvert internet, avec l'ouverture de cette p.... de fenêtre ! En tout cas je te remercie beaucoup de ne pas lacher le morceau et de ne pas m'abandonner !

lola 13 · Answer

SALUT !
Voici les résultats de 2 scans, je suis en train d'en faire un autre ! 
PANDA SCAN : il dit aucune menace mais affiche "threat detected " : C/Users/MARYLENE/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/ContentIE/KMMZW9KN/index[1].
htm
 menace ou virus (je sais plus) :JS/Psyme

McAFee FREE SCAN :
 nom du fichier                                
C:/Program/Files/Navilog1/Process.exe   menace: PrcViewer
C:/Program/Files/Navilog1/reboot.exe    menace : genericPUP.q
C:/Users/GIL/......./OGHCBQ2P/PLAY_MP3[1].exe menace : genericPUP.a
C:/Users/GIL/......./876WBUGD/PLAY_MP3[1].exe menace : genericPUP.a
C:/Users/GIL/AppData/Local/Temp/mit68DC.tmp  menace :  adware-mirar
C:/Users/GIL/AppData/Local/Temp/nupA1C9.tmp menace :  adware-mirar
C:/Users/GIL/AppData/Local/Temp/tem51D6.tmp.exe menace : adwara-mirar
   C:\Windows.old\...\0GHCBQ2P\PLAY_MP3[1].exe                Generic PUP.a 
C:\Windows.old\...\876WBUGD\PLAY_MP3[1].exe                  Generic PUP.a 
C:\Windows.old\...\Temp\mit68DC.tmp                                  Adware-Mirar 
C:\Windows.old\...\Temp
upA1C9.tmp                                Adware-Mirar 
C:\Windows.old\...\Temp	em51D6.tmp.exe                         Adware-Mirar 
C:\Windows.old\...\0GHCBQ2P\PLAY_MP3[1].exe                  Generic PUP.a 
C:\Windows.old\...\876WBUGD\PLAY_MP3[1].exe                 Generic PUP.a 
C:\Windows.old\Users\...\Temp\mit68DC.tmp                     Adware-Mirar 
C:\Windows.old\Users\...\Temp
upA1C9.tmp                      Adware-Mirar 
C:\Windows.old\Users\...\Temp	em51D6.tmp.exe                Adware-Mirar 
C:\Windows.old\...\0GHCBQ2P\PLAY_MP3[1].exe                  Generic PUP.a 
C:\Windows.old\...\876WBUGD\PLAY_MP3[1].exe                   Generic PUP.a 
C:\Windows.old\...\0GHCBQ2P\PLAY_MP3[1].exe                   Generic PUP.a  C:\Windows.old\...\876WBUGD\PLAY_MP3[1].exe                   Generic PUP.a 
C:\Windows.old\Users\...\Temp\mit68DC.tmp                          Adware-Mirar 
C:\Windows.old\Users\...\Temp
upA1C9.tmp                         Adware-Mirar 
C:\Windows.old\Users\...\Temp	em51D6.tmp.exe                     Adware-Mirar 
Voici de la lecture..

lola 13 · Answer

finalement pour les autres scans c'est compliqué, j'arrive pas à en faire démarrer ,il y en à un impossible à télécharger !

cgui33 · Answer

Re
tu as essayé KASPERSKY ?
A+

lola 13 · Answer

J'ai rééssayé Kaspersky 3 fois; une fenêtre s'ouvre et dit :" certains composants sont endommagés  ou ne sont pas correctements installés. Veuillez rééssayer ". Ca passe pas !

cgui33 · Answer

Re
Peux me faire la liste des fichiers suivants (récents)
Ouvre l'explorateur
sur la partie gauche  : clic gauche  sur le répertoire Windows (actif) du disque C
Ensuite : fais rechercher
Dans la case inscris le texte suivant :
*.exe;*.dll;*.ini
Sélectionne la ligne (ce sera plus facile ...)
Ensuite : dans les options de recherche :
Coche : Date
Sélectionne : entre le 15/02/2008 et aujourd'hui
Options avancées (coche la case)
Coche la case :  Rechercher dans les sous dossiers 
Ensuite : clic sur Rechercher

Donne moi la liste de ces fichiers chemins complets (Ex: C:\windows\system32\.......)
j'espère qu'ils ne sont pazs trop nombreux ... sinon commence par les plus récent (au moment de ton infection)
Merci

A+

cgui33 · Answer

Oui 
je vois tu n'es pas administrateur du système (encore Vista et ses sécurités de ...)
Peux tu le lancer (clic droit) 'En tant qu'administrateur'    ?  (comme pour 
Ou alors si tu connais le mot de passe administrateur :
Ferme ta session et ouvre en une en mode administrateur.
A+
Je ne lâche pas ...

cgui33 · Answer

Re

Peux tu essayer ça  ?

N'ayant pas vista ... je ne sais pas ce que ça vaut !
On sait jamais.
A+

lola 13 · Answer

Je ne peux pas ouvrir le fichier que tu m'as indiqué. (micosoft SUPINFO) J'ai essayé ce que tu m'as dis, mais mon explorateur ne ressemble pas du tout à ce que tu me dis et je ne m'y repaire pas. Je ne peux pas choisir de date en cochant, mais avant ou après une date, ni choisir dans les sous dossiers. J'ai tapé le texte que tu m'as donné, l'ordi me répond aucun élément trouvé. Je ne dois pas être au bon endroit, mais je suis perdue !   Désolée de ne pas être douée !!

cgui33 · Answer

Pas grave !
Va voir ici (je sais c'est pas rassurant ... vu la liste )
Regarde un peu pour voir si tu reconnais le contexte de ton infection !

ça pourrait servir ...
A+

cgui33 · Answer

OK
Mais moi je te dis à dimanche soir !
Bon week-end ... et bon rétablissement.
A+
PS : j'espère que quelqu'un reprendra ce post d'ici là !

jfkpresident · Answer

hello guy et lola ,

on va essayer ceci: télécharge e-scan :http://www.spywareinfo.dk/download/mwav.exe

> Utilisation de EScan Antivirus Toolkit : 

- Étape 1: 
> Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. 

- Étape 2: 
> Voici comment mettre l'escan à jour : 
- Double-clique le fichier mwav.exe qui se trouve sur le Bureau, 
Dézippe les fichiers dans le nouveau dossier (escan) situé à la racine du lecteur C:\ (C:\escan). 
Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 
- Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier escan. 
Ensuite, double-clique sur le fichier kavupd.exe. 
Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 
- Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" 
Tape sur une touche pour continuer. 
> Ne lance pas le scan tout de suite ! 

- Étape 3: 
> Démarre en mode Sans Échec, 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

>voici comment utiliser le programme eScan Antivirus Toolkit: 
- Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\escam 
- Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 
- Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 
- Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous, 
- Coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. 
- Assure toi que All local drives soit activé. 
- Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 
- Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). 
Lorsque terminé, tu verras Scan Completed. 
Ne pas quitter tout de suite ! 

> Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"), 
puis fait un copier/coller de tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, 
Sauvegarde le sur le bureau. 
EScan génère également un rapport complet dans le dossier C:\escam (nommé mwav.log), mais il est trop lourd pour poster sur le forum. 

> Ferme le programme. 

Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

jfkpresident · Answer

re,

Télécharge OTMoveIt de OldTimer ici: http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    * Enregistre le sur ton Bureau.
    * Double-Clique sur OTMoveIt.exe pour le lancer.
    * Copie les emplacement suivantset copie les dans la partie Paste List of File/Folder to be moved chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

  C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll
	

      



    * Clique sur le bouton rouge Moveit!.
    * Ferme OTMoveIt.
      Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.


Poste le rapport de OTMoveIT qui se trouvera à cet emplacement : C:\_OTMoveIt\MovedFiles

ensuite reposte moi un hijack .

lola 13 · Answer

Je crois que c'est ça que tu attendais. 
J'ai eu un doute, car il y avait 2 fenêtres  "Paste List of File/Folder to be moved; un "standard, l'autre "custom "! c'était " standard ?

LoadLibrary failed for C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll
C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll NOT unregistered.
File move failed. C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll scheduled to be moved on reboot.
 
OTMoveIt2 v1.0.20 log created on 02232008_190446

jfkpresident · Answer

reposte moi un hijack STP .

jfkpresident · Answer

colle moi un nouveau log hijackthis .

lola 13 · Answer

au risque de te paraître idiote, je ne sais pas ce qu'est un "log hijackthis". Est-ce que tu veux à nouveau le rapport de moveit ? je ne connais pas vraiment les termes particuliers de l'informatique !

jfkpresident · Answer

fais ceci avec hijackthis  :Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

cgui33 · Answer

salut à vous deux (et merci à JFK d'être venu !)

Avec HijackThis : 
Do a system scan only 
Coche cette ligne : ( UNIQUEMENT CETTE LIGNE ! )

O2 - BHO: BrowsingProgram - {F8EACE56-0AF4-3AE3-6EF8-F8CC39675729} - C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll 

Arrête toutes les autres applications en cours et :
clique sur Fix checked 

Ensuite toujours dans HijackThis
BP Config
Onglet Misc Tools
BP Delete a file on reboot
Sélectionne le fichier suivant :

C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll

Valide et répond OUI pour redémarrer.

Espérons que comme ça cela fonctionne ...

A+

lola 13 · Answer

Salut cgui33, merci à jfk d'avoir pris la relève
J'ai fait exactement ce que tu m'as dit, mais rien n'a changé pour l'instant. Est-ce normal ?

cgui33 · Answer

Reposte un log HijackThis pour voir
A+

cgui33 · Answer

Effectivement rien a changé ...
J'espère que JFK va nous trouver une solution pour virer ça.
En espérant que tes problèmes viennent de là !
J'en doute un peu ... mais c'est lui le pro !
A+

jfkpresident · Answer

En espérant que tes problèmes viennent de là ! ==>effectivement c'est bien cette ligne qui est infecté !

regarde: adware

je vais voir si je trouve un fix (compatible vista ) pour le virer .

cgui33 · Answer

Oui 
Mais, je continue de mon côté !
Je le contacterai pour voir ce qu'il pense de ton pb !
A demain

lola 13 · Answer

Je serai connectée demain toute la journée. Bonsoir , merci à demain.

jfkpresident · Answer

salut vous deux , on va réessayer navilog :

mais ce coup ci en désactivant l'UAC :https://forum.malekal.com/viewtopic.php?f=59&t=6517

Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter 

en tant qu'administrateur". 

Au menu principal, Fais le choix 1 
Laisse toi guider et patiente. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche le blocnote va s'ouvrir. 
Copie-colle l'intégralité du rapport dans une réponse. 
Referme le blocnote 
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

jfkpresident · Answer

on va essayer de le supprimer manuellement :

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 4 et valide.

Le fix va te demander de saisir le nom de fichier.
Saisis ce qui est en gras ci-dessous et rien d'autre puis valide:

PlayMP3Z

Le fix va te demander de le resaisir, fais-le et valide

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau

cgui33 · Answer

Salut Lola
Bon alors comment se comporte ton PC ?
A+

jfkpresident · Answer

a demain bonne nuit .........

jfkpresident · Answer

pas trop vite lola ; j'ai pas tout a fait fini avec toi :

Vide tes fichiers temporaires avec ceci:
->Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
->aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

click sur option et décoche la case devant : delete prefect files

vide le manuellement :

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille ! 

utilises tu "incredimail" ???

et as tu utilisé MSN ??

jfkpresident · Answer

Oupss une autre question : "as tu une toolbar (barre d'outils ) du nom de mirar qui s'est installé sur ton navigateur ??

jfkpresident · Answer

pour incredimail==>je n'aime pas trop ce programme,il est un peu louche ..........mais bon .

tu vas passer Msnfix (j'ai comme un doute ) :

désactive l'UAC pour l'utiliser : !!

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire ici) et place les fichiers dans C:\MSNFix (très important).

Double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

jfkpresident · Answer

RAS pour msnfix, reposte moi un hijack

cgui33 · Answer

Salut lola
Toujours infectée à ce que je vois ...
Je suis sûr que JFK va te sortir de là !
A+

jfkpresident · Answer

re, on passe a l'artillerie lourde !

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain mess

jfkpresident · Answer

reposte moi un nouveau hijack et dis moi comment se comporte ton pc ??

jfkpresident · Answer

re,  tu as installé playmp3z.biz de BrowsingSoftware  pour le désinstaller rend toi ici:http://www.playmp3z.biz/    et clique sur UNINSTALL en bas de page .

je te donne la suite apres manger ...

jfkpresident · Answer

re,

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

   files:
C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll 

registry:
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8EACE56-0AF4-3AE3-6EF8-F8CC39675729}] 


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

ensuite reposte un hijack .

cgui33 · Answer

Salut lola
C'est quand même mieux maintenant ... non ?
As tu encore des problèmes ?
A+

jfkpresident · Answer

poste moi le rapport de combofix STP .

cgui33 · Answer

Salut 
Je ne sais pas ce qu'en pense JFK mais ne faudrait faire ça sur chaque session !
Apparemment Navilog ne s'occupe que du current user !
Attends le conseil de JFK
A+

jfkpresident · Answer

voila la fenetre dont je te parlais==> ????????

jfkpresident · Answer

met toi sur la session de ton mari et poste moi un  hijack .

cgui33 · Answer

Salut lola
Comment va la jambe ?
Peux tu aller refaire un scan Panda pour nous donner un rapport comme celui-ci

Merci
A+

cgui33 · Answer

Re
Désolé je me suis planté !
Tu peux le faire avec McAffe free scan ?
Merci 
A demain

cgui33 · Answer

Salut lola

Ces lignes me semblent dangereuses :
C:\Users\MARYLENE\...\6.0\3\27007203-261a3020 Exploit-ByteVerify
C:\Users\MARYLENE\...\6.0\53\76fb16b5-425de6b9 Exploit-ByteVerify 

Attends la confirmation de JFK !
Si tu pouvais nous donner le chemin complet, ce serait bien !

A+

jfkpresident · Answer

effectivement je voudrais bien avoir le chemin complet égalment.

cgui33 · Answer

Re
Dans l'explorateur :
Outils --> Options des dossiers --> Affichage
Décocher : Cacher les extensions dont le type est connu
   Fichiers et dossiers cachés
sélectionner : Afficher le fichiers et dossiers cachés
Décocher : Masquer les fichiers protégés du système d'exploitation
Tu devrais le trouver avec ça !

A+
PS : Fais la manip inverse après !

cgui33 · Answer

Re

Fais démarrer--> exécuter
tape cmd (+ entrée)
Dans la fenêtre qui va s'ouvrir :
Tape : CD C:\ (+ entrée)
Ensuite tape : Dir 3 /S (+ entrée)

Tu devrais voir apparaitre le chemin complet, mais je suis presque sûr que ce sera :
C:\Users\Marylene\Appdata\...\Sun\Java\Deployment\Cache\6.0\3
Sous Vista, je ne sais pas ce qu'il y a entre les deux !

A+ (mardi soir)

cgui33 · Answer

Salut 

Ouais pas bon ... à ( \ ) près !
Bon j'attends une réponse de JFK !
Mais si personne ne te répond ce soir :
Désinstalles tes versions de JAVA (une normalement)
Ensuite : vérifie que le répertoire 3 n'existe plus (même commande qu'ici)
sauf que la réponse ne devrait pas être la même !

Réinstalles Java

Ensuite redémarre le PC et refais un scan McAfee

A+

cgui33 · Answer

Salut
Tu peux me dire ce que tu as fait exactement (dans l'ordre)
Merci
A+

cgui33 · Answer

Re
Donc tu as eu un message du style : file not found lorsque tu as tapé le dir ... après avoir désinstaller JAVA !?!?
Alors, si Oui (un prog ou ligne base de registre ... ou autre !? ) te remet ces  saloperies car ce sont les mêmes !
Soit c'est normal (lors de la réinstallation de JAVA) ...  ce qui m'étonnerait fort !
Va voir ici
J'espère que JFK va revenir(il est pas loin ... je crois)
A+

cgui33 · Answer

Re
Pour le vérifier : 
Désinstalles JAVA et relance un scan mcAfee
Supprime le répertoire JAVA :
Double-clique sur OTMoveIt.exe pour le lancer. (tu l'as déjà il me semble !)
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
Copie le texte ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 

C:\Users\Marylene\Appdata\Locallow\Sun\Java

Clique sur MoveIt! pour lancer la suppression. 
Si OTMoveIt propose de redémarrer ton PC, accepte. 
Lorsqu' un résultat apparaît dans le cadre Results, clique sur Exit. 
Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles. 
Le nom du rapport est la date de sa création. 

Apparemment tu avais déjà le pb sur ton ancienne installation de VISTA :
C:\Windows.old\...\3\27007203-261a3020 Exploit-ByteVerify  sur ton rapport McAfee

A+

jfkpresident · Answer

salut a vous deux ,un peu occupé avec ma fille mais de retour !!

j'ai fait une faute pour le Cfscript de combofix ,on va le refaire comme ceci:

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

files::
C:\Program Files\BrowsingProgram\BrowsingProgram-1.dll

registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8EACE56-0AF4-3AE3-6EF8-F8CC39675729}]


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

ensuite reposte un hijack .

jfkpresident · Answer

BHO demon ?? connnais pas , tu as un lien ??

cgui33 · Answer

Re
encore moi !
Pour JAVA, il y a une alerte de securer qui circule !
Lola si tu peux aller ici pour vérifier si tu es à jour !
Je suis sûr que non (t'inquiète pas moi non plus) car ils en sont à la version 6 Update 5 !
Rappel : Ne garde qu'une seule version sur ton PC.

A+

lola13 · Answer

Saut cgui ,salut jfk que ce passe-t-il pas de nouvelles depuis jeudi avons nous fini? 
L'ordinateur n'a plus de problemes mis à part cette fenêtre qui s'ouvre toujours au 
lancement d'internet dans la session de mon mari.

jfkpresident · Answer

salut lola ,s'agit il toujours de cette fenetre :http://img508.imageshack.us/img508/9879/fenetreintempestiveir3.jpg

jfkpresident · Answer

tu as regardé dans "rapports et solution " ???

l'érreur doit y etre indiqué ,dans ce cas la recherche une solution par le biais du web .

jfkpresident · Answer

j'ai trouvé ca :

va sur Internet explorer,clic droit,propriétés internet,coller: http://google.fr.

jfkpresident · Answer

si jamais tu as un souci ultérieurement , poste ici .

@ jamais +

Fenêtre

126 réponses

Votre réponse

Discussions similaires

Newsletters