Besoin kon examine m'on rapport navilog

Résolu
toto -  
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Bonjour,
problème avec pc on internet j'ai donc fait l'analyse avec navilog voiSearch Navipromo version 3.4.7 commencé le 25/02/2008 à 19:52:18,73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 23.02.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : FAT32

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Anthony\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Anthony\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Anthony\MENUD?~1\PROGRA~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\rwkgvd.exe 344064 bytes
C:\WINDOWS\system32\rwkgvd.dat 16384 bytes
C:\WINDOWS\system32\rwkgvd_nav.dat 393216 bytes
C:\WINDOWS\system32\rwkgvd_navps.dat 16384 bytes
C:\Program Files\Navilog1\Backupnavi\rwkgvd.dat 16384 bytes
C:\Program Files\Navilog1\Backupnavi\rwkgvd_nav.dat 393216 bytes
C:\Program Files\Navilog1\Backupnavi\rwkgvd_navps.dat 16384 bytes
C:\WINDOWS\system32\rwkgvd.exe 344064 bytes
C:\WINDOWS\system32\rwkgvd.dat 16384 bytes
C:\WINDOWS\system32\rwkgvd_nav.dat 393216 bytes
C:\WINDOWS\system32\rwkgvd_navps.dat 16384 bytes
C:\Program Files\Navilog1\Backupnavi\rwkgvd.dat 16384 bytes
C:\Program Files\Navilog1\Backupnavi\rwkgvd_nav.dat 393216 bytes
C:\Program Files\Navilog1\Backupnavi\rwkgvd_navps.dat 16384 bytes

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Anthony\locals~1\applic~1" *

*** Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\Anthony\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :

*** Analyse terminée le 25/02/2008 à 19:54:21,46 ***
la le rapport merci d'avance
Configuration: Windows XP
Internet Explorer 6.0

29 réponses

  • 1
  • 2
Résumé de la discussion

La problématique centrale est l'identification par Navilog de fichiers potentiellement malveillants et de composants cachés, notamment rwkgvd.exe, sur un poste Windows XP FAT32, avec des traces détectées dans le système et le registre. Plusieurs conseils recommandent d'éviter toute désinfection sans avis et proposent des outils comme HijackThis pour analyser les entrées de démarrage et générer des rapports, ainsi que des procédures intermédiaires avec Clean.zip. Des vérifications complémentaires suggèrent de confirmer la légitimité des fichiers détectés et d'éviter des suppressions manuelles précipitées, notamment lorsque des fichiers légitimes peuvent être signalés par GenericNaviSearch et Catchme. Par ailleurs, l'analyse AVG Anti-Spyware a supprimé plusieurs cookies et éléments de tracking, démontrant qu'un nettoyage incluant le navigateur peut être nécessaire en parallèle des analyses système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut TOTO

    Option 2

    on continue :

    Double cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valides.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
    Appuies sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc-notes. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    Poste le rapport içi.

    Ferme internet explorer puis Démarrer/panneau de configuration/options internet
    - onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :

    electronic-group
    egroup
    Montorgueil
    VIP
    "Sunny Day Design Ltd"

    Tu les supprimes.

    @+
    0
    1. toto
       
      merci pour ta rapidité de reponse voila le rapport
      Clean Navipromo version 3.4.7 commencé le 25/02/2008 à 20:20:31,39

      Outil exécuté depuis C:\Program Files\navilog1
      Mise à jour le 23.02.2008 à 20h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 6.0.2900.2180
      Système de fichiers : FAT32

      Mode suppression automatique
      avec prise en charge résultats Catchme et GNS


      *** Creation backups fichiers trouvés par Catchme ***

      Copie vers "C:\Program Files\navilog1\Backupnavi"

      Copie C:\WINDOWS\system32\rwkgvd.exe 344064 bytes réalisée avec succès !
      Copie C:\WINDOWS\system32\rwkgvd.dat 16384 bytes réalisée avec succès !
      Copie C:\WINDOWS\system32\rwkgvd_nav.dat 393216 bytes réalisée avec succès !
      Copie C:\WINDOWS\system32\rwkgvd_navps.dat 16384 bytes réalisée avec succès !
      Copie C:\Program Files\Navilog1\Backupnavi\rwkgvd.dat 16384 bytes réalisée avec succès !
      Copie C:\Program Files\Navilog1\Backupnavi\rwkgvd_nav.dat 393216 bytes réalisée avec succès !
      Copie C:\Program Files\Navilog1\Backupnavi\rwkgvd_navps.dat 16384 bytes réalisée avec succès !
      Copie C:\WINDOWS\system32\rwkgvd.exe 344064 bytes réalisée avec succès !
      Copie C:\WINDOWS\system32\rwkgvd.dat 16384 bytes réalisée avec succès !
      Copie C:\WINDOWS\system32\rwkgvd_nav.dat 393216 bytes réalisée avec succès !
      Copie C:\WINDOWS\system32\rwkgvd_navps.dat 16384 bytes réalisée avec succès !
      Copie C:\Program Files\Navilog1\Backupnavi\rwkgvd.dat 16384 bytes réalisée avec succès !
      Copie C:\Program Files\Navilog1\Backupnavi\rwkgvd_nav.dat 393216 bytes réalisée avec succès !
      Copie C:\Program Files\Navilog1\Backupnavi\rwkgvd_navps.dat 16384 bytes réalisée avec succès !

      *** Suppression des fichiers trouvés avec Catchme ***


      ** 2ème passage avec résultats Catchme **

      * Dans C:\WINDOWS\system32 *


      rwkgvd.exe trouvé !
      Copie rwkgvd.exe réalisée avec succès !
      rwkgvd.exe supprimé !

      rwkgvd.dat trouvé !
      Copie rwkgvd.dat réalisée avec succès !
      rwkgvd.dat supprimé !

      rwkgvd_nav.dat trouvé !
      Copie rwkgvd_nav.dat réalisée avec succès !
      rwkgvd_nav.dat supprimé !

      rwkgvd_navps.dat trouvé !
      Copie rwkgvd_navps.dat réalisée avec succès !
      rwkgvd_navps.dat supprimé !

      C:\WINDOWS\prefetch\rwkgvd*.pf trouvé !
      Copie C:\WINDOWS\prefetch\rwkgvd*.pf réalisée avec succès !
      C:\WINDOWS\prefetch\rwkgvd*.pf supprimé !

      * Dans "C:\Documents and Settings\Anthony\locals~1\applic~1" *


      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans C:\WINDOWS\System32 *


      * Suppression dans "C:\Documents and Settings\Anthony\locals~1\applic~1" *



      *** Suppression dossiers dans C:\WINDOWS ***


      *** Suppression dossiers dans C:\Program Files ***


      *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


      *** Suppression dossiers dans "C:\Documents and Settings\Anthony\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\Anthony\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\Anthony\MENUD?~1\PROGRA~1" ***


      *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***



      *** Suppression fichiers ***

      C:\WINDOWS\system32\nvs2.inf supprimé !

      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\Anthony\locals~1\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans C:\WINDOWS\system32 *


      * Dans "C:\Documents and Settings\Anthony\locals~1\applic~1" *


      *** Sauvegarde du Registre vers dossier Backupnavi ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup supprimé !

      *** Nettoyage terminé le 25/02/2008 à 20:26:56,39 ***
      0
  2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    C'est bien, Navilog a bien bossé !!

    Ensuite :
    Télécharge Clean.zip de Malekal.

    Comment l'utiliser

    Dézippe-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd
    une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
    Choisis l'option 1 puis patiente
    Poste le rapport obtenu

    S’il te demande d’uploader un fichier, tu le fais…
    pour retrouver le rapport : double clique sur => C => double clique sur " rapport_clean txt.
    et copie/colle le sur ta prochaine réponse .

    NE PASSE PAS A L'OPTION 2 SANS NOTRE AVIS !

    to be continued........
    0
    1. toto
       
      le dossier clean s'ouvre mais j'trouve pas clean.cmd??? il s'cache ou le saligot?
      0
  3. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    ha ouais.... je viens de voir çà....

    clic sur clean.....
    0
    1. toto
       
      a y est G trouvé voila le rapport
      25/02/2008 a 21:07:48,65

      *** Recherche des fichiers dans C:

      *** Recherche des fichiers dans C:\WINDOWS\

      *** Recherche des fichiers dans C:\WINDOWS\system32
      C:\WINDOWS\system32\check.exe FOUND

      *** Recherche des fichiers dans C:\Program Files
      *** Fin du rapport !
      0
    2. toto
       
      et puis G çaC:\WINDOWS\System32\eRLog.ini -->25/02/2008 20:28:34
      C:\WINDOWS\System32\wpa.dbl -->24/02/2008 18:03:42
      C:\WINDOWS\System32\MRT.exe -->04/02/2008 15:09:48
      C:\WINDOWS\System32\PerfStringBackup.INI -->27/01/2008 23:34:22
      C:\WINDOWS\System32\perfh00C.dat -->27/01/2008 23:34:22
      C:\WINDOWS\System32\perfc00C.dat -->27/01/2008 23:34:22
      C:\WINDOWS\System32\perfh009.dat -->27/01/2008 23:34:22
      C:\WINDOWS\System32\perfc009.dat -->27/01/2008 23:34:22
      C:\WINDOWS\System32\amcompat.tlb -->23/01/2008 11:33:38
      C:\WINDOWS\System32\nscompat.tlb -->23/01/2008 11:33:38
      C:\WINDOWS\System32\CONFIG.NT -->19/01/2008 12:52:50
      C:\WINDOWS\System32\TZLog.log -->12/12/2007 11:58:54
      C:\WINDOWS\System32\mshtml.dll -->07/12/2007 15:37:06
      C:\WINDOWS\System32\shdocvw.dll -->07/12/2007 02:07:06
      C:\WINDOWS\System32\shlwapi.dll -->07/12/2007 02:07:06
      C:\WINDOWS\System32\urlmon.dll -->07/12/2007 02:07:06
      C:\WINDOWS\System32\wininet.dll -->07/12/2007 02:07:06
      C:\WINDOWS\System32\extmgr.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\dxtrans.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\jsproxy.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\mstime.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\pngfilt.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\browseui.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\cdfview.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\danim.dll -->07/12/2007 02:07:04

      C:\WINDOWS\0.log -->25/02/2008 20:25:08
      C:\WINDOWS\ModemLog_SoftV90 Data Fax Modem with SmartCP.txt -->25/02/2008 20:24:52
      C:\WINDOWS\bootstat.dat -->25/02/2008 20:23:44
      C:\WINDOWS\WindowsUpdate.log -->25/02/2008 20:23:04
      C:\WINDOWS\SchedLgU.Txt -->25/02/2008 20:22:50
      C:\WINDOWS\bthservsdp.dat -->25/02/2008 20:22:36
      C:\WINDOWS\KB893803v2Uninst.log -->24/02/2008 19:49:14
      C:\WINDOWS\iis6.log -->24/02/2008 19:49:14
      C:\WINDOWS\ocmsn.log -->24/02/2008 19:49:12
      C:\WINDOWS\msgsocm.log -->24/02/2008 19:49:12
      C:\WINDOWS\tsoc.log -->24/02/2008 19:49:12
      C:\WINDOWS\ntdtcsetup.log -->24/02/2008 19:49:12
      C:\WINDOWS\comsetup.log -->24/02/2008 19:49:12
      C:\WINDOWS\FaxSetup.log -->24/02/2008 19:49:12
      C:\WINDOWS\ocgen.log -->24/02/2008 19:49:12

      et puis ça aussi
      C:\WINDOWS\System32\MRT.exe -->04/02/2008 15:09:48
      C:\WINDOWS\System32\mshtml.dll -->07/12/2007 15:37:06
      C:\WINDOWS\System32\shdocvw.dll -->07/12/2007 02:07:06
      C:\WINDOWS\System32\shlwapi.dll -->07/12/2007 02:07:06
      C:\WINDOWS\System32\urlmon.dll -->07/12/2007 02:07:06
      C:\WINDOWS\System32\wininet.dll -->07/12/2007 02:07:06
      C:\WINDOWS\System32\extmgr.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\dxtrans.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\jsproxy.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\mstime.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\pngfilt.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\browseui.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\cdfview.dll -->07/12/2007 02:07:04
      C:\WINDOWS\System32\danim.dll -->07/12/2007 02:07:04
      0
  4. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    C:\WINDOWS\system32\check.exe FOUND !!!
    Option 2

    Je te conseille de copie/coler ce texte et de l'enregister sur ton bureau !

    noirci le texte a l'aide de ta souris, puis clic droit > copier!
    fais un clic droit sur ton bureau et selectionnes > nouveau > doccument texte
    colles le texte dans le blocnotes !
    laisse le sur le bureau .

    Important: tu n'auras pas accès à Internet à partir du moment ou te redémarrera en mode sans échec)
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

    1) Redémarre en mode sans échec

    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuyer sur [Entrée]
    Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

    2) Cleanzip

    _ Ouvre le dossier Clean qui se trouve sur ton bureau.
    _ Double-clique sur clean.cmd.
    Une fenêtre noire va apparaître,

    choisis l'option 2.
    Clean va maintenant supprimer les fichiers infectés,

    3) Rapport
    _ Appuis sur la touche ENTREE du clavier pour ouvrir le rapport. tu l'enregistrer si besoin.
    (menu Edition / Enregistrer sous).
    Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant :
    "rapport_clean.txt" à la racine de votre disque dur (ex : C:\rapport_clean.txt).

    Comment faire :Tuto
    http://mickael.barroux.free.fr/securite/clean.php

    Redémarre en mode normal et poste le rapport qui se trouve ici C:\rapport_clean.txt
    0
    1. toto
       
      euhhh. Une petite question comment sait-on ke le bios a terminé son chargement?j'ai pas souvenir d'avoir un ecran noir au redémarrage...
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Regarde ici si besoin avant ici : mode sans echec
    0
    1. toto
       
      OK! Merci


      @+ (j'espère)
      0
  7. toto
     
    Voila le rapport clean
    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 25/02/2008 a 21:45:37,67

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression des fichiers dans C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32
    tentative de suppression de C:\WINDOWS\system32\check.exe

    *** Suppression des fichiers dans C:\Program Files

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !
    0
  8. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Télécharge HIJACKTHIS HIJACKTHIS <--- ici.
    Enregistre HJTInstall.exe sur ton bureau. Double-clique sur HJTInstall.exe pour lancer le programme
    Par défaut, il s'installera là : C:\Program Files\HijackThis\HijackThis.exe
    Accepte la license en cliquant sur le bouton "I Accept"

    Relance Hijackthis en double cliquant sur son raccourci sur le Bureau.
    Choisis l'option "Do a system scan and save a log file"
    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" ->> Copier" pour copier tout le contenu du rapport
    Comment fixer les lignes et générer un rapport <---- voir ici
    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    IMPERATIF !! Avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!

    @+
    0
  9. toto
     
    Voila pour HIJACKTHIS
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:17:44, on 25/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Acer\eManager\anbmServ.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\Spyware Terminator\sp_rsser.exe
    C:\WINDOWS\system32\keyhook.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Launch Manager\QtZgAcer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\fxssvc.exe
    C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\WANADOO\TaskBarIcon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\PROGRA~1\WANADOO\GestionnaireInternet.exe
    C:\PROGRA~1\WANADOO\ComComp.exe
    C:\WINDOWS\system32\sistray.exe
    C:\PROGRA~1\WANADOO\Toaster.exe
    C:\PROGRA~1\WANADOO\Inactivity.exe
    C:\PROGRA~1\WANADOO\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\WANADOO\Watch.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
    O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [rwkgvd] c:\windows\system32\rwkgvd.exe rwkgvd
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: Crawler Search - tbr:iemenu
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
    0
  10. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Tu as besoin de traduire en asiatique ?

    0
    1. toto
       
      koi??? pardon mais je comprend pas
      0
  11. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    tu as des services pour traduction asiatique activés qui bouffent de la ressource a moins que tu en ais besoin...

    si ce n'est pas le cas, on vire
    0
    1. toto
       
      ok on vire ces m... ki m'bouffe de l'espace pr rien
      0
    2. toto
       
      c'est fou quand meme que je me retrouve avec ces truc
      0
  12. toto
     
    t'aurai pas un truc qui me protège de ces logiciel qui se telecharge dans mon dos??
    0
  13. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Relance HijackThis, choisis "do a scan only"
    coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background


    tuto en images

    0
    1. toto
       
      ça y est c'est fait
      0
  14. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

    - C'est un service de FranceTelecom, bien inutile, qui malheureusement est à l'origine de plantage sur certaines machines ...
    (aucun probleme à l'enlever, tout fonctionnera parfaitement). Il collecte des infos sur ton PC.

    -Lance HJT ==> Clic sur Open the Misc Tools section > puis Open Uninstall Manager… ==> sélectionne France Telecom Routing Table Service (FTRTSVC) > clic sur Delete this entry.
    ===> Puis tu relances HJT ==> Clic sur Open the Misc Tools section > puis Open process manager> puis sur Kill process
    ensuite tu cliques sur Back et tu coches la même ligne dans la liste

    reposte un nouvel hjt après avoir fait çà stp.
    0
    1. toto
       
      je le fix?
      0
  15. toto
     
    je l'ai si je fait un scan avec HJT mais je l'ai pas dans open uninstall manager?
    0
  16. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Lance HJT ==> Clic sur Open the Misc Tools section > puis Open Uninstall Manager… ==> sélectionne France Telecom Routing Table Service (FTRTSVC) > clic sur Delete this entry.
    ===> Puis tu relances HJT ==> Clic sur Open the Misc Tools section > puis Open process manager> puis sur Kill process

    refais un nouvel hjt ensuite...

    0
    1. toto
       
      je trouve pas ce *** de France Telecom Routing Table Service je fai pourtant exactement ce que tu me dit
      0
    2. toto
       
      j'commence a douter de mes faculté de compréhension là...
      0
  17. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    c'est pas grave... peut etre moi qui ai mal expliqué...

    je regarde pour la suite...
    0
    1. toto
       
      A non pas du tout c super bien expliqué mai j'te promet qu'il y est pas enfin brefcontinuon dans la joie et la bonne humeur
      0
  18. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    on essaye comme ça :

    Relance HijackThis, choisis "do a scan only" cocha la case devant cette ligne puis clique sur "fix checked"

    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

    Clique sur demarrer, executer, tape: services.msc ,cherche France Telecom Routing Table Service et régle cette ligne sur "arreter" puis "desactiver"

    reposte un hjt ensuite stp

    0
    1. toto
       
      j'ai pu faire que arréter j'ai pas trouvé désactiverLogfile of Trend Micro HijackThis v2.0.2
      Scan saved at 01:15:55, on 26/02/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Acer\eManager\anbmServ.exe
      C:\Program Files\Spyware Terminator\sp_rsser.exe
      C:\WINDOWS\system32\keyhook.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Launch Manager\QtZgAcer.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\fxssvc.exe
      C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\PROGRA~1\WANADOO\TaskBarIcon.exe
      C:\PROGRA~1\WANADOO\GestionnaireInternet.exe
      C:\PROGRA~1\WANADOO\ComComp.exe
      C:\WINDOWS\system32\sistray.exe
      C:\PROGRA~1\WANADOO\Toaster.exe
      C:\PROGRA~1\WANADOO\Inactivity.exe
      C:\PROGRA~1\WANADOO\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\PROGRA~1\WANADOO\Watch.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
      O4 - HKLM\..\Run: [LaunchApp] Alaunch
      O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
      O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
      O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
      O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKCU\..\Run: [rwkgvd] c:\windows\system32\rwkgvd.exe rwkgvd
      O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: Crawler Search - tbr:iemenu
      O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
      O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
      0
    2. toto
       
      Si j'ai trouvé désactiver et voila le résultat

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 01:19:28, on 26/02/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Acer\eManager\anbmServ.exe
      C:\Program Files\Spyware Terminator\sp_rsser.exe
      C:\WINDOWS\system32\keyhook.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Launch Manager\QtZgAcer.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\fxssvc.exe
      C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\PROGRA~1\WANADOO\TaskBarIcon.exe
      C:\PROGRA~1\WANADOO\GestionnaireInternet.exe
      C:\PROGRA~1\WANADOO\ComComp.exe
      C:\WINDOWS\system32\sistray.exe
      C:\PROGRA~1\WANADOO\Toaster.exe
      C:\PROGRA~1\WANADOO\Inactivity.exe
      C:\PROGRA~1\WANADOO\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\PROGRA~1\WANADOO\Watch.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60049
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60049
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
      O4 - HKLM\..\Run: [LaunchApp] Alaunch
      O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
      O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
      O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
      O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKCU\..\Run: [rwkgvd] c:\windows\system32\rwkgvd.exe rwkgvd
      O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: Crawler Search - tbr:iemenu
      O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
      O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
      0
  19. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous, ( en gras )

    c:\windows\system32\rwkgvd.exe rwkgvd

    et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.
    tutoriel en cas de doute

    clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre Results à droite.
    Clique sur Exit pour fermer.
    il te sera peut-être demander de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.
    EN CAS DE DOUTE REGARDE ce TUTO
    Un rapport sera enregistré dans C:\\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
    Les x sont des chiffres qui correspondent à la date et l'heure du scan.

    Poste le .

    je verais ça demain...

    @+
    0
    1. toto
       
      Bonjour!
      Donc voila j'ai fait ce que tu m'a demander avec otmoveit2 et voila ce qu'il me met dans la case résult

      File/Folder c:\windows\system32\rwkgvd.exe rwkgvd not found.

      OTMoveIt2 v1.0.20 log created on 02262008_173412

      apparemment et si mon anglais est bon il l'a pas trouvé.
      0
  20. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Certains Fichiers/Dossiers ne sont pas accessibles sous Windows XP. En particulier les fichiers et répertoires système.
    Pourtant, il est parfois nécessaire d'accéder à ces répertoires (En cas d'infection par exemple).
    Fais ce qui suit...
    Pour afficher les dossiers et fichiers cachés:
    Panneau de configuration > Options des dossiers > onglet Affichage.

    coche Afficher les fichiers et dossiers cachés,
    décoche Masquer les extensions de fichiers connus
    décoche Masquer les fichiers protégés du Système.
    Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
    Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

    Lorsque tu aura fini d'intervenir dans les répertoires système, fait la manip inverse pour recacher les fichiers système.

    retente la manip donnée ici http://www.commentcamarche.net/forum/affich 5184287 besoin kon examine m on rapport navilog#34

    @+
    0
    1. toto
       
      meme résultat que précédemment...

      File/Folder c:\windows\system32\rwkgvd.exe rwkgvd not found.

      OTMoveIt2 v1.0.20 log created on 02262008_175701
      0
    2. toto
       
      OUF!!!!! ce fut long mais voila

      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 19:28:52 26/02/2008

      + Résultat de l'analyse:



      C:\Documents and Settings\Anthony\Cookies\anthony@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@msnservices.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@stat.dealtime[2].txt -> TrackingCookie.Dealtime : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
      C:\Documents and Settings\Anthony\Cookies\anthony@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.


      Fin du rapport
      0
  21. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Je te conseille de copie/coler ce texte et de l'enregister sur ton bureau !

    noirci le texte a l'aide de ta souris, puis clic droit > copier!
    fais un clic droit sur ton bureau et selectionnes > nouveau > doccument texte
    colles le texte dans le blocnotes !
    laisse le sur le bureau .

    Important: tu n'auras pas accès à Internet à partir du moment ou te redémarrera en mode sans échec
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

    1)Télécharge si tu ne les as pas ...

    CCleaner ici .

    Choisi de préférence la version SLIM-No Toolbar.
    Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
    Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
    Pour les autres paramètres, laisse-le avec ses réglages par défaut.
    Ferme le programme pour l’instant.

    la version d'essai d 'AVG Anti-Spyware 7.5

    TUTO d'installation à lire absolument
    Installe la puis...Lancer AVG Anti-Spyware.

    Clique sur le menu Mise à jour.
    Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
    Attends la fin de cette mise à jour puis ferme le programme.
    Ne pas lancer d'analyse maintenant

    2) Redémarre en mode sans échec

    Regarde ici si besoin avant ici : https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

    Ouvre le document texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

    3) Lance AVG Anti-Spyware 7.5

    Réglages

    Clique sur le menu Analyse (de la barre d'outils).
    Clique sur l'onglet Paramètres.
    Dans Comment réagir? clique sur Actions recommandées et choisir Quarantaine
    Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
    Dans Rapports cocher "générer un rapport après chaque analyse"

    Scan
    Dans l'onglet Analyse
    Clique sur Analyse complète du système.
    Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
    Tres important : A la fin de l'analyse, clique sur " Appliquer toutes les actions" <<----- TRES IMPORTANT
    Ensuite.
    Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.( C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports)

    Puis ferme AVG Anti-Spyware.

    4) Suppression de fichiers inutiles avec CCleaner

    Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
    Puis dans le menu Nettoyeur
    Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
    Clique sur le bouton Lancer le nettoyage.
    Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner.

    5) Rapports

    Fais redémarrer le PC en mode normal puis poste en réponse :
    Le rapport d AVG antispyware 7.5 situé ici C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports
    0
  • 1
  • 2