Problème désinfection de virus

Marie-Hélène0487 Messages postés 3 Date d'inscription Statut Membre Dernière intervention -
lex74 - 12 janv. 2011 à 21:46

Bonjour,
Mon Pc est infecté par un Trojan : Win32:Small-JMH et un Adware : Win32:Adware-gen dont je n'arrive pas à me débarrasser avec Avast ! Voici le résultat du scan :

Rapport avast!
* Ce fichier est généré automatiquement
*
* Tâche utilisée 'Interface utilisateur simplifiée'
* Débuté le jeudi 6 mars 2008 16:18:44
* VPS : 080306-0, 06/03/2008
*

C:\Documents and Settings\Marie Hélène\aflehs.exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\Documents and Settings\Marie Hélène\hwfayu.exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\Documents and Settings\Marie Hélène\ifowlf.exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\Documents and Settings\Marie Hélène\Local Settings\Temporary Internet Files\Content.IE5\HMFTPBJ5\addz[1].exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\Documents and Settings\Marie Hélène\Local Settings\Temporary Internet Files\Content.IE5\TMTYL26U\addz[1].exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \messengerskinner.exe\[Embedded#006643]\$PLUGINSDIR\NSUtils.dll [L] Win32:Adware-gen [Adw] (0)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \messengerskinner.exe\[Embedded#006643]\$INSTDIR\MessengerSkinner_new.exe [L] Win32:Adware-gen [Adw] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier n'est pas empaqueté.
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \messengerskinner_setup.exe\[Embedded#006643]\$INSTDIR\resources\btnInOver.bmp [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0029.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0030.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0031.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0032.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0033.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene\pllangs.exe\Wise0034.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0035.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0036.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0037.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0038.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene \pllangs.exe\Wise0039.bin [E] archive d´installeur corrompu. (42146)
C:\Documents and Settings\Marie Hélène\pwdiua.exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\Documents and Settings\Marie Hélène\rwcklj.exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\Documents and Settings\Marie Hélène\yjyspg.exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\Downloads\bon office 2003\autorun.apm\amsdata.dat [E] L'archive est protégée par mot de passe. (42056)
C:\Downloads\Kaella-Knoppix_Linux_Azur_3.0beta1.iso\KNOPPIX\KNOPPIX [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\arrow1.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\arrow2.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bck1.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bck2.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt11.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt12.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt13.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt21.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt22.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt23.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt31.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt32.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt33.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt41.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt42.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt43.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt51.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt52.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt53.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt61.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt62.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\checkbox1.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\checkbox2.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\checkbox3.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\checkbox4.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\default.skn [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\defbtn1.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\defbtn2.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\defbtn3.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph1.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph2.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph3.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph4.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph5.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph6.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph7.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\main.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\preview.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\sprite1.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\tab1.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\tab2.bmp [E] L'archive est protégée par mot de passe. (42056)
C:\Program Files\Wanadoo\Config\Marie-Helene \Temp\DLM119.tmp\{embedded}\setup.exe [E] archive d´installeur corrompu. (42146)
C:\WINDOWS\SoftwareDistribution\Download\0926b9470c9af53c207eadf0bf3934da\BIT21.tmp\mrt.exe [E] archive CAB corrompue. (42127)
Fichiers infectés : 10
Total des fichiers : 660583
Total des dossiers : 10330
Taille totale : 61,5 GB

*
* Tâche arrêtée : jeudi 6 mars 2008 22:05:18
* Programme en exécution était 5 heure(s), 46 minute(s), 34 secon

Que faire ? Merci de me répondre.

Afficher la suite

A voir également:

Problème désinfection de virus
Virus mcafee - Accueil - Piratage
Virus facebook demande d'amis - Accueil - Facebook
Undisclosed-recipients virus - Guide
Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
Impossible de terminer l'opération car le fichier contient un virus - Forum Virus

41 réponses

Réponse 21 / 41

Marie-hélène0487

Bonjour,

J'ai fait le nécessaire pour les cookies dans IE et pour EoRezo aussi.

OUI, AVAST me signale toujours ce satané virus sur le PC lorsque je fais un scan : pourtant je ne suis pas retournée sur MSN !!!

Voici le rapport Navilog 1 :

Search Navipromo version 3.5.0 commencé le 15/03/2008 à 12:24:56,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Marie Hélène\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Marie Hélène\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Marie Hélène\menudm~1\progra~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Marie Hélène\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\Marie Hélène\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !

4)Recherche fichiers connus :

*** Analyse terminée le 15/03/2008 à 12:29:32,04 ***

MERCI de ta réponse.
A +

Réponse 22 / 41

Marie-hélène0487

Re Bonjour

2ème post
J'ai bien lu MSN prévention que tu m'as envoyé.

Voici ce que j'ai trouvé comme informations sur ce virus :

Supprimer le virus msn-photos.isuisse.com circulant sur Messenger !
Écrit par M@xime
24-02-2008
Page 1 sur 39
Un nouveau virus se propage sur les ordinateurs via Messenger !

Présentation
Ce virus se nomme communément msn-photos.isuisse.com, nom provenant de l'adresse Internet d'où il est téléchargé.

Ce programme est détecté comme TR/Crypt.XPACK.Gen par Antivir mais peut avoir d'autre nom.

Ce virus adopte le même principe qu'un autre virus very-naked.com.

Les personnes infectées par ce trojan envoient un message accompagné d'un lien pointant sur un soit disant pack photo.

Caractéristiques
TR/Crypt.XPACK.Gen est un trojan qui se propage via le logiciel de messagerie instantanée Microsoft MSN Messenger. Il se présente sous la forme d’un message contenant un lien vers un site Internet lié en apparence à MSN. Si le destinataire clique que ce lien, il est invité à télécharger et installer un fichier votradresse@hotmail.comCet e-mail est protégé contre les robots collecteurs de mails, votre navigateur doit accepter le Javascript pour le voir qui est le virus.

Ce fichier n’est pas un raccourci Windows mais un fichier exécutable. S’il est ouvert, le virus se copie sur le disque dur, modifie ensuite la base de registres pour s’exécuter automatiquement à chaque démarrage de l’ordinateur, s’envoie régulièrement à tous les contacts MSN puis ouvre une porte dérobée, se mettant en attente d’instructions en provenance d’un canal IRC permettant la prise de contrôle à distance de l’ordinateur.

Si vous recevez des messages semblables, c’est parce que l’ordinateur d’au moins un de vos correspondants est infecté : afin de stopper ce virus, contactez la personne indiquée comme étant l’expéditrice des messages par Messenger ou par courriel pour l’informer que son ordinateur envoie des virus et suggérez-lui de contacter l’ensemble de ses contacts MSN pour les prévenir de ne pas ouvrir les fichiers votradresse@hotmail.comCet e-mail est protégé contre les robots collecteurs de mails, votre navigateur doit accepter le Javascript pour le voir ou sinon de désinfecter leur ordinateur.

Voici les messages que la personne infectée enverra à ses contacts, en plusieurs langues :

En français :

http:/msn-photos.isuisse.com/?photo=house_temple
ta tof fais koi sur ce site :)
En Italien :

http:/msn-photos.isuisse.com/?photo=nostronickname
Le tue foto sono pubblicati su questo sito
D'autres langues doivent sûrement être concernées par ce virus

Lorsque le contact clique sur le lien, il est invité à télécharger une photo portant son adresse hotmail.

Lorsque le contact lance ce fichier, le virus se propage dans le système d'exploitation et s'envoie automatiquement à tous les contacts Messenger de la victime.

Symptômes
Votre ordinateur semble plus lent que d'habitude
Vous avez récupéré un fichier douteux via un lien sur Messenger
Vos contacts reçoivent des messages de vous à votre insu

Eradication du virus
Ce virus est détecté par la plupart des antivirus connus. Un simple scan de votre disque dur suffira à eliminer ce trojan.

Vous pouvez aussi utiliser MsnCleaner, SDfix ou MSN Fix pour scanner vos fichiers à la recherche de ce virus.

Télécharger SDfix

Télécharger MSN Fix

Télécharger MSNCleaner

Un scan en ligne est aussi possible à cette adresse.

Pour une éradication complète, suivez la procédure manuelle à effectuer en cliquant sur "Lire la suite".

Cliquez sur "Lire la suite" pour découvrir l'éradication complète

Fermez Windows Live Messenger

Désactivez la restauration du système :

Sous Windows XP :
"Démarrer", "Panneau de configuration", "Performances et Maintenance", "Système" et "Désactiver la restauration du système"

Sous Windows Vista :

"Démarrer", "Panneau de configuration", "Performances et Maintenance", "Système", "Protection du système" puis décochez la case en face de votre disque dur

Faites un scan avec MSNCleaner

Supprimez les fichiers détectés

Téléchargez omg-fix12-en.reg et enregistez-le sur votre disque dur

Lancez omg-fix12-en.reg. Dans la fenêtre qui apparait, cliquez sur "Oui"

Redémarrez votre ordinateur

Téléchargez omg-delete12-en.bat et enregistrez-le sur votre disque dur

Lancez omg-delete12-en.bat : l'invite de commande cmd s'ouvre et nettoie votre ordinateur

Si vous reçevez un message d'erreur "Impossible de supprimer le fichier winlogon.exe", passez à l'étape suivante

Si vous ne reçevez pas ce message, la désinfection est terminée

Télécharger Delete Doctor et enregistrez-le sur votre disque dur

Cliquez sur "Browse" puis rendez-vous dans le dossier (activez les fichiers cachés au besoin) :

Sous Windows XP :

C:\Documents and Settings\Votrenom\Local Settings\Temp

Sous Windows Vista :

C:\Users\Votrenom\AppData\Local\Temp

et sélectionnez le fichier "winlogon.exe".

Dans Delete Doctor, cliquez ensuite sur "Delete on System Restart".

Répondez "Oui" puis "OK" et redémarrez votre ordinateur.

Réactivez la restauration du système après nettoyage !
Sinon en dernier recours, télécharger Antivir

Qu'en penses-tu ? Je n'ai pas essayé de faire cette manip ... C'est sur MSNcreative que j'ai trouvé ça .

Bonne journée
A+

Réponse 23 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir marie helene

nous avons utilisé SDFix et MSNFix, tu ne devrais plus avoir de soucis avec ce virus MSN, tente d utiliser MSN et dis moi ce que cela donne.

Je ne connais pas omg-fix et omg-delete12 , je prefere que tu evites de les utiliser.

On va vérifier quelque chose :

Télécharge lopxpMH2 de Lazzzy

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton Bureau

.Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

@ suivre

Réponse 24 / 41

Marie-Hélène0487

Bonjour,

Voici le rapport HijackThis demandé :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:33:37, on 16/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\SPOOL\DRIVERS\W32X86\3\DLBCPSWX.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\program files\orange\player orange\Orange Player.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\EoRezo\EoWeather\ItsTV.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe
O4 - HKCU\..\Run: [OrangePlayer] c:\program files\orange\player orange\Orange Player.exe /systray
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-789336058-920026266-725345543-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Alexandra')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger avec FlashGet - E:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-32369c99b8db3f84.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega.DMFacade.Interface) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonjour Marie Helene

tant que ce qui est trouvé par Avast se trouve dans le systeme volume information, ce n'est pas dangereux si la restauration n'est pas utilisée.
Nous la désactiverons/ ré activerons en fin de nettoyage afin de créer un point sain.

Peux tu faire ce qui suit, stp :

1) Désactivation service inutile : France Telecom Routing Table Service

Démarrer / exécuter tapes services.msc

Navigue jusqu au Service: France Telecom Routing Table Service

Clique droit sur la ligne du service en question France Telecom Routing Table Service puis arrêter
Clique droit a nouveau puis propriétés et a type de Démarrage mettre sur désactivé puis valider par appliquer et ok

2) LopxpMH2 de Lazzzy

Télécharge LopxpMH2 de Lazzzy

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton Bureau

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir

@ suivre.

Réponse 26 / 41

Marie-Hélène0487

Bonjour,

Voici le rapport lopxpMH demandé :

Rapport lopxpMH2 version 2.0 fait à 15:51:29,14 le 16/03/2008
C:\Documents and Settings\Marie Hélène\Bureau\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Administrateur\Application Data

06/03/2008 10:22 <REP> .
06/03/2008 10:22 <REP> ..
06/03/2008 10:22 <REP> Microsoft
06/03/2008 10:22 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 116 815 814 656 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

06/03/2008 10:22 <REP> .
06/03/2008 10:22 <REP> ..
06/03/2008 10:22 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 116 815 810 560 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Alexandra\Application Data

05/01/2008 00:05 <REP> .
05/01/2008 00:05 <REP> ..
16/01/2008 18:58 <REP> Adobe
15/03/2008 21:20 <REP> Grisoft
05/01/2008 00:06 <REP> Identities
05/01/2008 00:05 <REP> Microsoft
05/01/2008 00:05 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 116 815 810 560 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Alexandra\Local Settings\Application Data

05/01/2008 00:05 <REP> .
05/01/2008 00:05 <REP> ..
16/01/2008 18:58 <REP> Adobe
18/01/2008 17:33 <REP> Ahead
21/02/2008 11:19 <REP> Apple Computer
16/03/2008 13:27 <REP> IM
12/01/2008 19:30 <REP> Magentic
05/01/2008 00:05 <REP> Microsoft
18/01/2008 17:25 46 088 FASTWiz.log
11/01/2008 16:31 1 635 874 IconCache.db
2 fichier(s) 1 681 962 octets
8 Rép(s) 116 815 810 560 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\All Users\Application Data

03/01/2008 14:30 <REP> .
03/01/2008 14:30 <REP> ..
03/01/2008 16:25 <REP> Adobe
14/02/2008 22:39 <REP> Apple
26/02/2008 19:04 <REP> Apple Computer
04/01/2008 01:37 <REP> AVS4YOU
03/01/2008 14:51 <REP> CyberLink
09/02/2008 22:11 <REP> Downloaded Installations
22/01/2008 02:07 <REP> Google
22/01/2008 02:06 <REP> Google Updater
13/03/2008 11:47 <REP> Grisoft
03/01/2008 16:28 <REP> Macrovision
04/01/2008 11:52 <REP> Messenger Plus!
03/01/2008 14:30 <REP> Microsoft
15/02/2008 17:35 <REP> Skype
04/01/2008 01:41 <REP> Spybot - Search & Destroy
04/01/2008 22:58 <REP> Symantec
10/01/2008 15:59 <REP> TEMP
04/01/2008 00:02 <REP> Windows Genuine Advantage
04/01/2008 03:23 <REP> WLInstaller
03/03/2008 23:46 <REP> Zylom
03/01/2008 14:30 62 desktop.ini
15/02/2008 17:45 32 ezsid.dat
2 fichier(s) 94 octets
21 Rép(s) 116 815 810 560 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Default User\Application Data

03/01/2008 14:30 <REP> .
03/01/2008 14:30 <REP> ..
03/01/2008 14:30 <REP> Microsoft
03/01/2008 14:30 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 116 815 806 464 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

03/01/2008 14:30 <REP> .
03/01/2008 14:30 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 116 815 806 464 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Georges\Application Data

04/01/2008 23:46 <REP> .
04/01/2008 23:46 <REP> ..
23/01/2008 15:58 <REP> Google
14/03/2008 21:11 <REP> Grisoft
04/01/2008 23:48 <REP> Identities
04/01/2008 23:50 <REP> Macromedia
04/01/2008 23:46 <REP> Microsoft
04/01/2008 23:46 62 desktop.ini
1 fichier(s) 62 octets
7 Rép(s) 116 815 806 464 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Georges\Local Settings\Application Data

04/01/2008 23:46 <REP> .
04/01/2008 23:46 <REP> ..
14/03/2008 21:11 <REP> Apple Computer
23/01/2008 15:58 <REP> Google
04/01/2008 23:46 <REP> Microsoft
04/01/2008 23:50 91 112 GDIPFONTCACHEV1.DAT
09/01/2008 18:44 1 577 420 IconCache.db
2 fichier(s) 1 668 532 octets
5 Rép(s) 116 815 806 464 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Invité\Application Data

03/01/2008 16:14 <REP> .
03/01/2008 16:14 <REP> ..
08/01/2008 17:04 <REP> Adobe
03/01/2008 16:14 <REP> Identities
08/01/2008 17:04 <REP> Macromedia
03/01/2008 16:14 <REP> Microsoft
03/01/2008 16:14 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 116 815 806 464 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Invité\Local Settings\Application Data

03/01/2008 16:14 <REP> .
03/01/2008 16:14 <REP> ..
03/01/2008 16:14 <REP> Microsoft
03/01/2008 16:14 3 791 088 IconCache.db
1 fichier(s) 3 791 088 octets
3 Rép(s) 116 815 806 464 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Jeanne Sophie\Application Data

04/01/2008 04:27 <REP> .
04/01/2008 04:27 <REP> ..
04/01/2008 20:09 <REP> Adobe
04/01/2008 20:15 <REP> AdobeAUM
04/01/2008 20:15 <REP> AdobeUM
05/01/2008 00:03 <REP> Ahead
14/03/2008 19:54 <REP> Apple Computer
14/03/2008 19:09 <REP> Grisoft
05/01/2008 23:57 <REP> Help
04/01/2008 04:27 <REP> Identities
04/01/2008 20:29 <REP> Macromedia
04/01/2008 04:27 <REP> Microsoft
04/01/2008 20:17 <REP> Qualcomm
04/01/2008 20:20 <REP> SolidDocuments
04/01/2008 20:07 <REP> XnView
04/01/2008 04:27 62 desktop.ini
1 fichier(s) 62 octets
15 Rép(s) 116 815 806 464 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Jeanne Sophie\Local Settings\Application Data

04/01/2008 04:27 <REP> .
04/01/2008 04:27 <REP> ..
04/01/2008 20:16 <REP> Adobe
05/01/2008 00:00 <REP> Ahead
14/03/2008 19:09 <REP> Apple Computer
04/01/2008 04:30 <REP> GHISLER
05/01/2008 23:57 <REP> Help
04/01/2008 04:27 <REP> Microsoft
15/03/2008 19:35 3 584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
04/01/2008 23:52 93 872 GDIPFONTCACHEV1.DAT
04/01/2008 04:43 4 846 068 IconCache.db
3 fichier(s) 4 943 524 octets
8 Rép(s) 116 815 802 368 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\LocalService\Application Data

03/01/2008 14:41 <REP> .
03/01/2008 14:41 <REP> ..
03/01/2008 22:33 <REP> Help
03/01/2008 17:36 <REP> Macromedia
03/01/2008 14:41 <REP> Microsoft
0 fichier(s) 0 octets
5 Rép(s) 116 815 802 368 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

03/01/2008 14:41 <REP> .
03/01/2008 14:41 <REP> ..
03/01/2008 22:33 <REP> Help
03/01/2008 14:41 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 116 815 802 368 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Marie Hélène\Application Data

03/01/2008 14:42 <REP> .
03/01/2008 14:42 <REP> ..
03/01/2008 16:26 <REP> Adobe
03/01/2008 16:32 <REP> AdobeUM
04/01/2008 20:55 <REP> Ahead
14/02/2008 22:48 <REP> Apple Computer
04/01/2008 01:39 <REP> ArcSoft
20/02/2008 14:23 <REP> CyberLink
15/02/2008 17:02 <REP> EoRezo
22/01/2008 02:07 <REP> Google
04/01/2008 01:28 <REP> GOTO Software
13/03/2008 11:47 <REP> Grisoft
05/01/2008 01:13 <REP> Help
03/01/2008 14:42 <REP> Identities
15/02/2008 17:22 <REP> ItsLabel
08/03/2008 13:24 <REP> Lavasoft
02/02/2008 01:12 <REP> Leadertech
03/01/2008 17:36 <REP> Macromedia
03/01/2008 14:42 <REP> Microsoft
21/02/2008 11:41 <REP> OpenOffice.org2
10/02/2008 00:23 <REP> Player Orange
03/01/2008 23:19 <REP> Qualcomm
05/01/2008 02:52 <REP> Real
24/02/2008 17:22 <REP> SecuROM
15/02/2008 17:45 <REP> skypePM
17/01/2008 19:07 <REP> SMov
04/01/2008 13:19 <REP> SolidDocuments
03/01/2008 15:20 <REP> Sonic
03/01/2008 17:03 <REP> Sun
04/01/2008 22:58 <REP> Symantec
03/01/2008 17:09 <REP> Template
04/01/2008 13:16 <REP> XnView
03/01/2008 14:42 62 desktop.ini
1 fichier(s) 62 octets
32 Rép(s) 116 815 802 368 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\Marie Hélène\Local Settings\Application Data

03/01/2008 14:42 <REP> .
03/01/2008 14:42 <REP> ..
03/01/2008 17:03 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
03/01/2008 16:32 <REP> Adobe
04/01/2008 20:57 <REP> Ahead
14/02/2008 22:40 <REP> Apple
14/02/2008 22:39 <REP> Apple Computer
10/02/2008 00:22 <REP> ApplicationHistory
11/01/2008 22:07 <REP> Dell
03/01/2008 15:17 <REP> GHISLER
22/01/2008 02:07 <REP> Google
05/01/2008 01:13 <REP> Help
03/01/2008 19:47 <REP> Identities
04/01/2008 02:20 <REP> IM
05/01/2008 18:08 <REP> Magentic
03/01/2008 14:42 <REP> Microsoft
20/02/2008 14:23 <REP> Powercinema
04/01/2008 14:02 40 448 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/02/2008 00:22 135 fusioncache.dat
04/01/2008 03:14 93 872 GDIPFONTCACHEV1.DAT
03/01/2008 15:19 2 644 804 IconCache.db
4 fichier(s) 2 779 259 octets
17 Rép(s) 116 815 798 272 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\NetworkService\Application Data

03/01/2008 14:41 <REP> .
03/01/2008 14:41 <REP> ..
03/01/2008 14:41 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 116 815 798 272 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

03/01/2008 14:41 <REP> .
03/01/2008 14:41 <REP> ..
19/02/2008 18:43 <REP> Apple
03/01/2008 14:41 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 116 815 798 272 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

03/01/2008 14:40 <REP> .
03/01/2008 14:40 <REP> ..
03/01/2008 14:40 <REP> Microsoft
04/01/2008 15:06 <REP> SolidDocuments
03/01/2008 14:40 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 116 815 798 272 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

03/01/2008 14:40 <REP> .
03/01/2008 14:40 <REP> ..
13/02/2008 23:39 <REP> Microsoft
07/03/2008 15:23 93 872 GDIPFONTCACHEV1.DAT
1 fichier(s) 93 872 octets
3 Rép(s) 116 815 798 272 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
â¹ÁôfÕB®‘äl>l²F ê <
s €!Ø + Œ : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - t a s k S Y S T E M 0 Ø +

C:\WINDOWS\Tasks\User_Feed_Synchronization-{AAF2692A-9395-4EE9-A955-AB81C02F197B}.job
‹{jÒ §B†[[mLF R <
s "€!Ø $ C : \ W I N D O W S \ s y s t e m 3 2 \ m s f e e d s s y n c . e x e s y n c # C : \ P r o g r a m F i l e s \ I n t e r n e t E x p l o r e r
M a r i e H é l è n e " U p d a t e s o u t - o f - d a t e s y s t e m f e e d s . 0 Ø ® 0 Ø
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est D848-9BC8

Répertoire de C:\Program Files

13/03/2008 11:47 <REP> .
13/03/2008 11:47 <REP> ..
04/01/2008 23:11 <REP> ACE Mega CoDecS Pack
03/01/2008 16:26 <REP> Adobe
04/01/2008 01:37 <REP> AIDA32 - Enterprise System Information
04/01/2008 22:59 <REP> AIDA32 vf
04/01/2008 00:37 <REP> Alex Feinman
04/01/2008 14:48 <REP> Alwil Software
03/01/2008 16:58 <REP> Analog Devices
14/02/2008 22:39 <REP> Apple Software Update
03/01/2008 15:18 <REP> ArcSoft
04/01/2008 01:37 <REP> AVS4YOU
04/01/2008 01:40 <REP> Belkin
03/01/2008 16:18 <REP> Canon
04/01/2008 01:32 <REP> CCleaner
04/01/2008 01:32 <REP> CDImage GUI
17/02/2008 15:42 <REP> Common Files
03/01/2008 14:34 <REP> ComPlus Applications
03/01/2008 14:53 <REP> CyberLink
03/01/2008 14:51 <REP> Dell
03/01/2008 14:58 <REP> Dell 720
23/02/2008 23:25 <REP> EA GAMES
14/03/2008 23:22 <REP> EoRezo
07/03/2008 08:35 <REP> Fichiers communs
04/01/2008 13:21 <REP> FlashGet
15/02/2008 17:15 <REP> Google
02/03/2008 18:01 <REP> Gravity
13/03/2008 11:47 <REP> Grisoft
26/02/2008 15:50 <REP> Incredijeux
26/01/2008 22:36 <REP> IncrediMail
03/01/2008 17:05 <REP> Intel
13/02/2008 23:39 <REP> Internet Explorer
03/01/2008 16:36 <REP> Inventel
26/02/2008 19:06 <REP> iPod
26/02/2008 19:06 <REP> iTunes
16/01/2008 21:30 <REP> Java
04/01/2008 23:36 <REP> jeu jackpot
04/01/2008 23:36 <REP> jeu puckman
08/03/2008 13:24 <REP> Lavasoft
05/01/2008 18:08 <REP> Magentic
04/01/2008 23:03 <REP> Messenger
04/01/2008 04:02 <REP> Messenger Plus! Live
04/01/2008 23:02 <REP> Microsoft CAPICOM 2.1.0.2
03/01/2008 14:39 <REP> microsoft frontpage
03/01/2008 15:02 <REP> Microsoft Hardware
04/01/2008 01:07 <REP> Microsoft Office
17/02/2008 15:42 <REP> Microsoft Référence
04/01/2008 04:11 <REP> Microsoft SQL Server Compact Edition
04/01/2008 01:07 <REP> Microsoft Visual Studio
04/01/2008 01:07 <REP> Microsoft Works
04/01/2008 03:07 <REP> Movie Maker
19/01/2008 14:39 <REP> MP3 Player Utilities 4.15
03/01/2008 14:34 <REP> MSN
03/01/2008 14:34 <REP> MSN Gaming Zone
04/01/2008 22:56 <REP> MSXML 4.0
15/03/2008 12:31 <REP> Navilog1
04/01/2008 20:52 <REP> Nero
04/01/2008 03:05 <REP> NetMeeting
21/02/2008 11:51 <REP> OpenOffice.org 2.3
10/02/2008 00:22 <REP> Orange
04/01/2008 23:01 <REP> Outlook Express
15/02/2008 17:11 <REP> Picasa2
05/01/2008 00:46 <REP> PowerQuest
04/01/2008 23:36 <REP> puckman
26/02/2008 19:05 <REP> QuickTime
14/02/2008 21:27 <REP> Saxo
01/02/2008 04:51 <REP> ScreenMates
03/01/2008 16:44 <REP> Securitoo
04/01/2008 23:12 <REP> Selteco
03/01/2008 14:36 <REP> Services en ligne
03/01/2008 14:54 <REP> Sonic
04/01/2008 22:59 <REP> Symantec
09/03/2008 15:57 <REP> Trend Micro
31/01/2008 21:55 <REP> Trust
04/01/2008 22:57 <REP> tweak
03/01/2008 16:17 <REP> Ulead Systems
04/01/2008 13:18 <REP> Ultra Iso
09/02/2008 22:12 <REP> VirginMega
16/03/2008 15:30 <REP> Wanadoo
28/02/2008 03:02 <REP> Windows Live
14/01/2008 16:28 <REP> Windows Media Connect 2
14/01/2008 16:46 <REP> Windows Media Player
04/01/2008 03:05 <REP> Windows NT
04/01/2008 23:00 <REP> WinZip
03/01/2008 14:39 <REP> xerox
04/01/2008 13:16 <REP> XnView
18/01/2008 11:38 <REP> YesMessenger
05/03/2008 00:46 <REP> Zylom Games
0 fichier(s) 0 octets
88 Rép(s) 116 815 794 176 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

Merci de prendre du temps pour régler ce cas.
Bon dimanche
A +

Réponse 27 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir Marie helene

Je ne vois pas Avast sur ton demarrage ... est il bien en bas actif dans la barre des taches ? as tu effectuée son enregistrement aupres d'avast ?

On profite pour enlever quelques lignes pour optimiser ton démarrage en évitant que les programmes qui s'y lancent inutilement, accaparent des ressources du système.

Regarde ici "comment fixer/corriger des lignes via HijackThis http://pageperso.aol.fr/balltrap34/demohijack.htm

Désactive le résident de Spybot via clic droit dans la barre des taches , décoche Protection d résident et clique sur quitter résident de SpyBot S&D

1) Lance HijackThis.

Je te conseille d'enregistrer toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes

O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\EoRezo\EoWeather\ItsTV.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-789336058-920026266-725345543-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Alexandra')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

Clique sur Fix Checked puis clique sur OK
Puis ferme HijackThis.

Si certaines lignes sont absentes, signale les en fin de procédure

2) Rapport

Fais redémarrer ton PC et poste un nouveau rapport HijackThis

A noter : tu as plusieurs programmes que je ne conseille pas --> Eorezo (on en a déja parlé ;) ), Yesmessenger, Incredimail il reste aussi des traces de Symantec, ton ancien antivirus...

@ suivre

Marie-Hélène0487

Bonjour,

Pour Avast : j'ai bien un n° de licence familiale, J'ai mis la protection résidente sur "élevé", il est sur le Bureau, dans "démarrer" "programmes" ; mais pas en bas à droite vers l'horloge ...

Pour EoRezo : je l'ai supprimé avec "configurer les programmes par défaut" "ajout/supp de progr" mais il apparaissait encore ds Programfiles (je l'ai suppr) tout comme Yesmessenger que j'ai supprimé depuis au moins deux mois ... Je fais pourtant dégragmentation du disk !

Voici le rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:29, on 17/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\program files\orange\player orange\Orange Player.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe
O4 - HKCU\..\Run: [OrangePlayer] c:\program files\orange\player orange\Orange Player.exe /systray
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger avec FlashGet - E:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-32369c99b8db3f84.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega.DMFacade.Interface) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Réponse 28 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonjour Marie Helene

En est il de même pour FlashGet, l'as tu désinstallé ?

Désactive le résident de Spybot via clic droit dans la barre des taches , décoche Protection d résident et clique sur quitter résident de SpyBot S&D

1) Lance HijackThis.

Je te conseille d'enregistrer toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [OrangePlayer] c:\program files\orange\player orange\Orange Player.exe /systray
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

Clique sur Fix Checked puis clique sur OK
Puis ferme HijackThis.

Si certaines lignes sont absentes, signale les en fin de procédure

2) Rapport

Fais redémarrer ton PC et poste un nouveau rapport HijackThis

Qu'en est il du fonctionnement du PC ?

@ suivre

Marie-Hélène0487

Bonsoir,

Voici le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:11, on 17/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger avec FlashGet - E:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-32369c99b8db3f84.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega.DMFacade.Interface) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Réponse 29 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir Marie Helene

Je te déconseille ad aware qui est dépassé.

Je 'en veux, cette apres midi , je t'ai répondu vite fait et j'ai oublié de te faire exécuter une manip pour qu'Avast se lance de nouveau au démarrage du PC :

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :
(ou clic droit sur le Bureau/ nouveau / Document texte )

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"avast"="\"C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe\""

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fait bien attention que Windows Registry Editor Version 5.00 soit sur la toute 1ere ligne

Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

Fais redémarrer ton PC et poste un HijackThis en réponse stp., dis moi aussi si Avast a réapparu dans ta barre des taches.

@+

Marie-Hélène0487

Bonsoir,

J'ai fait la manip que tu m'as demandé -sans rien comprendre- mais tout s'est passé comme tu me l'as décrit dans le message !!! AVAST est réapparu dans la barre des tâches.

Ca faisait un petit moment qu'il avait disparu mais il devait être toujours actif puisqu'il y avait un petit éclair bleu de temps en temps...

Voici le rapport HijackThis :Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:29:05, on 19/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [avast] "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger avec FlashGet - E:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-32369c99b8db3f84.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega.DMFacade.Interface) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Réponse 30 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir Marie Helene

Pour Ad aware, oubli, il est dépassé.

--Pour AVG AS --->
Au bout des 30 jours d'essais , AVG Anti-Spyware restera utilisable sans limitation de durée, mais avec deux restrictions :
*- pas de surveillance en temps réel
*- pas de mise à jour automatique en ligne.
Il restera un bon scan passif avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .

-- Pour Spybot, tente de le re-télécharger et de le ré-installer https://www.safer-networking.org/

-démo d’utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
-Tuto :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

Puis fais ce qui suit

Télécharge Clean zip de Malekal_Morte

http://www.malekal.com/download/clean.zip

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton Bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 1

Puis poste le rapport qui se trouve ici C:\rapport_clean.txt

@ suivre

Marie-Hélène0487

Bonsoir,

Voici le rapport CleanZip :

19/03/2008 a 1:46:52,29

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

J'ai re-téléchargé Spybot S&D sur le site que tu m'as donné : ça a marché !
Je l'essaierai demain ...

Bonne soirée ou bonne nuit et mille merci.

A+

Réponse 31 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Re bonsoir

Oups, je t'ai fait faire Cleanzip a nouveau alors qu'on l'avait déjà exécuter ... désolé, excuse moi.

1) ToolsCleaner de A.Rothstein

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce a ToolsCleaner de A.Rothstein

Télécharge le http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe sur ton Bureau.
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.

--> Poste moi Le rapport de ToolsCleaner ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt)

2) Scan en ligne chez Bitdefender

* Fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Aide toi de ce Tuto (merci Morgane) http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html</gras>

@ suivre car il restera des conseils de sécurité à appliquer.

Marie-Hélène0487

Bonsoir,

Voici le rapport de ToolsCleaner :-->- Recherche:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\Lopxpmh2.zip: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\Navilog1.exe: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\Navilog1.lnk: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\SDFIX: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\MsnFix: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\LopXpMh2: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\tar.exe: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\remove.reg: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\pskill.exe: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\LFiles.exe: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\gzip.exe: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\delsiri.cmd: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\delr.cmd: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\del3.cmd: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\del2.cmd: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\clean.cmd: trouvé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\cherche.cmd: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Belkin\Logiciel Bluetooth\gzip.exe: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\Lopxpmh2.zip: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\Navilog1.exe: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\Navilog1.lnk: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\tar.exe: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\remove.reg: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\pskill.exe: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\LFiles.exe: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\gzip.exe: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\delsiri.cmd: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\delr.cmd: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\del3.cmd: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\del2.cmd: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\clean.cmd: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\clean\cherche.cmd: supprimé !
C:\Program Files\Belkin\Logiciel Bluetooth\gzip.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\SDFIX: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\MsnFix: supprimé !
C:\Documents and Settings\Marie Hélène\Bureau\Outils virus et spyware\LopXpMh2: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Point de restauration crée !
Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

Dans les Options facultatives, j'ai créé un point de restauration puisque je n'en avais plus !!! et une sauvegarde du régistre.

D'autre part voici le rapport de scan de Bitdefender :

BitDefender Online Scanner

Rapport d'analyse généré à: Wed, Mar 19, 2008 - 22:42:08

Voie d'analyse: A:\;C:\;D:\;E:\;Y:\;

Statistiques

Temps
00:29:59

Fichiers
89970

Directoires
10190

Secteurs de boot
5

Archives
1193

Paquets programmes
10383

Résultats

Virus identifiés
5

Fichiers infectés
6

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
6

Info sur les moteurs

Définition virus
1016110

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
41

Unpack des plugins
7

E-mail plugins
6

Système plugins
5

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions

Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui

Fichier analysé
Statut

C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene MOUTURAT\messengerskinner_setup.exe=>(NSIS 2o)=>lzma_solid_nsis0006
Détecté avec: Adware.Navipromo.BZM

C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene MOUTURAT\messengerskinner_setup.exe=>(NSIS 2o)=>lzma_solid_nsis0006
Supprimé

C:\Documents and Settings\Marie Hélène\Mes documents\Marie-Helene MOUTURAT\messengerskinner_setup.exe=>(NSIS 2o)
Echec de la mise à jour

C:\Program Files\Saxo\Modules\MachineID.dll
Infecté par: Backdoor.Pcclient.GV

C:\Program Files\Saxo\Modules\MachineID.dll
Supprimé

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP10\A0009710.dll
Détecté avec: Adware.Flashget.C

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP10\A0009710.dll
Supprimé

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP10\A0009711.exe
Détecté avec: Application.Adware.Flashget.H

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP10\A0009711.exe
Echec de la désinfection

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP10\A0009711.exe
Supprimé

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP10\A0009714.exe
Détecté avec: Application.Flashget.B

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP10\A0009714.exe
Echec de la désinfection

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP10\A0009714.exe
Supprimé

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP12\A0010101.dll
Infecté par: Backdoor.Pcclient.GV

C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP12\A0010101.dll
Supprimé

Voilà, je ne sais si le prob est résolu, je vois encore un virus dans messenger_skinner ?!?! Apparemment, le PC fonctionne normalement, je suis allée sur MSN cet après midi, je n'ai pas eu de message "ta tof sur ce site" et mon contact non plus.
Merci de me répondre.
Bonne soirée
A+

Réponse 32 / 41

Marie-Hélène0487

Re bonsoir,

Au secours, je viens de faire une énorme sottise : je regardais (dans un dossier que j'ai créé) les fichiers qui me restaient pour les supprimer et j'ai cliqué sur un zippé qui s'appelle catchme (59ko) -ne sachant pas ce que c'est pour le supprimer- AVAST hurle aux loups que j'ai un cheval de troie sur l'ordi, Spybot n'arrête pas de me mettre une fenêtre :
catégorie Winlogon
Modif Valeur modifiée
Element Userlnit
Ancienne valeur C:/Windows/system32/userinit.exe.
Nouvelle valeur C:/Windows/system32/userinit.exe.C:Doc ...je ne vois pas la suite
J'ai mis refuser la modif, se souvenir de cette décision mais il m'affiche la fenêtre ttes les secondes
Je suis en train de lui faire exécuter un scan
Je suis atterrée de ma bêtise, je n'ai pas imaginé que ce fichier zippé est en fait le virus...
Que dois je faire ? Tout reprendre depuis le début ? J'y crois pas :-(

A+

Réponse 33 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir Marie Helene

Ce n'est pas grave.

Ne t'inquietes pas, c'est une fausse détection, en faite Catchme fait partie intégrante de SDFix, si tu regarde le rapport de SDFix que nous avons éxécuter page 1 poste 13 http://www.commentcamarche.net/forum/affich 5343640 probleme desinfection de virus#13
Tu y verras ceci :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-10 11:07:49

Pour ce qui est de l'alerte de Spybot, tu n'aurais pas du cocher s"en souvenir, c'est a éviter avec ce dernier, tu dois pouvoir changer les réglages via clic droit sur TeaTimer dans ta barre des taches, mais je suis au boulot, et je n'ai donc pas TeaTimer installé sur les PC du taff et ne peux pas te pr"ciser comment faire a l'heure actuelle, je te dirai cela plus precisemment a mon retour, demain matin.

Pour ce qui est du scan en ligne, il a retrouvé le set up de Messengerskinner quoi t'avait ramené l'adware Navipromo, MachineID.dll dans C:\Program Files\Saxo\Modules
plus des petites choses dans la restauration que nous désactiverons/ réactiverons bientot en créant ainsi un point de restauration clean.

Une fois réglé le probleme de TeaTimer et de Catchme, on pourra conclure tous les deux .

@ suivre...

Réponse 34 / 41

Marie-Hélène0487

Bonjour,

Ouf tu me rassures. J'ai eu très peur. Il me semblait bien que ce fichier était apparu sur le bureau après ma demande d'aide sur CCM mais je n'en étais plus sûre du tout !!!

J'ai beau faire clic droit sur tea timer dans la barre des tâches, ça ne veut pas s'afficher, j'ai toujours ces petites fenêtres qui s'ouvrent ttes les secondes !!! "Resident a refusé la modification etc..."

Donc je ne touche plus à rien jusqu'à ta prochaine réponse.
Encore merci
A+

Réponse 35 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonjour Marie helene

Excuse moi, j'ai piqué du nez hier matin en rentrant du taff, je vois cela tout a l'heure et te dis comment faire ;)

@ +

Réponse 36 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Re coucou Marie Helene

Clique droit sur TeaTimer dans la barre des taches (en bas a droite, l'icône avec le ptit cadenas) puis cliquer sur Réglages clique sur Modifs de registre bloquées et clique sur la croix en face de la ligne relative a Winlogon afin que cette ligne disparaisse.

Si TeaTimer te repose la question en rapport avec Winlogon, accepte le changement.
Je pense qu'il devrait te reposer la "question inverse" à nouveau, accepte de nouveau.
C'est l'exécution de Catchme qui a provoqué ce changement. Ce n'est pas grave.

Tiens moi au courant que l'on puisse se diriger lentement vers une conclusion commune ;)

@ suivre car il restera des conseils de sécurité à appliquer.

Marie-Hélène0487

Coucou,

J'ai appliqué la marche à suivre que tu m'as indiquée pour Spybot. Donc, c'est bon pour lui. Mais par contre, je reçois des alertes d'Avast depuis cette malheureuse ouverture du fichier Catchme (je ne sais pas si c'est en relation ou un hasard) comme quoi j'ai toujours ce trojan sur le PC (Small-JMH) ?!?!

Je t'envoie le rapport de scan que j'ai fait hier après midi :

*
* Rapport avast!
* Ce fichier est généré automatiquement
*
* Tâche utilisée 'Interface utilisateur simplifiée'
* Débuté le vendredi 21 mars 2008 12:30:11
* VPS : 080321-0, 21/03/2008
*

C:\Documents and Settings\Marie Hélène\Local Settings\Temporary Internet Files\Content.IE5\YN2T532D\6736f989[1].exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\System Volume Information\_restore{DA198ADF-36E5-4EE2-AE83-71CBE3403565}\RP13\A0010148.exe\[UPX] [L] Win32:Small-JMH [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
Fichiers infectés : 2
Total des fichiers : 102005
Total des dossiers : 10077
Taille totale : 51,7 GB

*
* Tâche arrêtée : vendredi 21 mars 2008 16:34:38
* Programme en exécution était 4 heure(s), 4 minute(s), 27 seconde(s)
*

Hier soir, j'ai eu l'écran bleu me signalant l'installation d'un programme ou d'un matériel défectueux ...

Ce matin, Avast met encore deux fichiers en quarantaine au démarrage du PC ...

J'ai fait CCleaner

En attendant de te lire, je te souhaite une bonne journée
Marie-Hélène

Réponse 37 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir Marie Helene

Ce qu'Avast a trouvé ce situe dans les restauration (on s'en occuppera bientot) et des fichiers temporaires

Je te propose d'aller effacer manuellement un à un les dossiers qui se trouvent dans

C:\Documents and Settings\Marie Hélène\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\All users\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5

Note : Tu auras besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 puis une fois les fichiers supprimés, refais la manip inverse afin d'éviter les erreurs.

@ suivre.

Marie-Hélène0487

Bonjour,

J'ai bien effectué la marche à suivre pour afficher les fichiers et dossiers cachés indiquée par pcastuces.

Par contre, je n'ai qu'un dossier Content IE 5
dans C:/Administrateur/LocalSettings/TemporaryInternetFiles
dans lequel il y a 4 dossiers :
F14A38CG
PRBOYBID
YKRZ38JW
et Z5BNLQD4
+ 2 fichiers : desktop.ini
et index.dat

Pour C:/Marie-Hélène/LocalSettings/TemporaryInternetFiles : il y a des cookies.
Pour C:/All users/LocalSettings : je n'ai pas TemporaryInternetFiles !!!

Ne sachant pas trop, je n'ai rien supprimé.

Pour ce qui est du fonctionnement du PC, pas de prob sur MSN, et fonctionne normalement.
Mais, encore l'écran bleu quand je l'ai éteint hier soir, et ce matin, Avast signale le virus dans deux fichiers que j'ai mis en quarantaine... Spybot indique modif régistre, valeur ajoutée : Kernel Faultcheck que j'ai refusée.

J'espère que les renseignements donnés te seront suffisants pour m'indiquer une piste à suivre ...

Bonne journée et encore merci;
A+

Réponse 38 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Re

Tu peux supprimer les cookies et

F14A38CG
PRBOYBID
YKRZ38JW
et Z5BNLQD4

Spybot indique modif régistre, valeur ajoutée : Kernel Faultcheck que j'ai refusée.

--> cela c'est du au bug, ton ecran bleue

Dis moi ce qu'a trouvé Avast et oui cela stp.

@ suivre
Joyeuses pâques

Marie-Hélène0487

Bonsoir,

Merci pour Joyeuses Pâques, j'espère que c'était une bonne journée pour toi aussi !

J'ai annulé les 4 dossiers dans Content IE 5 (administrateur)
Impossible de supprimer les Cookies dans TemporaryInternetFiles (Marie-Hélène) ?!?! -signal sonore d'alerte-

Voici les deux fichiers qu'Avast détecte infectés par Small-JMH ce matin et sont en quarantaine :

1er) C:/Documents and Settings/Marie-Hélène/LocalSettings/TemporaryInternetFiles/ContentIE5/023M3I...
nom du fichier original : 6736F989[1].exe
Taille 9296
ID 48

2ème) C:/Documents and Setting/Marie-Hélène
nom du fichier original : casiqi.exe
Taille 9296
ID 49

Pourtant, je n'ai pas de dossier Content IE 5 dans C:/Documents and Settings/Marie-Hélène/Local Settings/TemporaryInternetFiles...

Les deux fichiers qu'Avast avait détecté samedi matin même heure, même localisation, même nom de fichier original pour le 1er : 6736F989[1].exe sauf .....ContentIE5/6Z3E1BB8
Même taille
ID 46

Pour le 2ème : même localisation
nom du fichier original : vkvtnu.exe
Même taille
ID 47

Sinon, je suis allée sur MSN tout à l'heure : pas de dysfonctionnement, ni de ma part, ni de celle de mon contact :-)
D'autre part, le PC fonctionne normalement.

je te souhaite une bonne soirée et encore merci de ta réponse,
A+

Réponse 39 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir Marie helene

Tu dois pouvoir faire de meme avec les dosiers qui se trouvent dans C:/Documents and Settings/Marie-Hélène/LocalSettings/TemporaryInternetFiles/ContentIE5

Je m'excuse car j'ai pas tres bien gérer ton problème et cela a traîné un peu en longueur.
(entre autre , je t'ai fait exécuter Cleanzip option1 plusieurs fois)

Je vais te donner plusieurs conseils par ordre de priorité, prends le temps de lire et d’exécuter cela à ton rythme, ne "t’abrutis" pas à tout faire d'un coup, quitte a y revenir par a coups et suivre ainsi petit à petit les différentes instructions.

=========================================================================

=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créera un point de restauration sain

* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur..

=========================================================================

=> Il te faut impérativement tenir à jour régulièrement Windows ainsi qu’ Internet Explorer :

Via Internet Explorer, rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

=> Il faut mettre a jour la console Java régulièrement aussi :

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / paramètres / panneau de config / et dans ajout/suppression de programme navigue jusqu'aux anciennes versions de la console java qui s'y trouvent, puis supprimer, suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=========================================================================

=> Installe un pare-feu pour remplacer celui de Windows qui est insuffisant :

Regarde celui-ci en gratuit :

* ComodoFirewallPro 2.4 http://www.personalfirewall.comodo.com/

Version 2.4 en français en bas de page ici http://www.personalfirewall.comodo.com/download_firewall.html

Comodo Firewall Pro − French Version 2.4
Option 1
Download French Version of Comodo Firewall Pro 2.4 (Size: 8.48 MB)
- Tuto https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389 http://www.nordicnature.net/tutorials/comodo/cf24wiz.htm

Attention ce pare-feu existe aussi en version 3.0 mais en version anglaise uniquement et plus difficile à paramétrer
Tuto pour la version 3.0https://infomars.fr/forum/index.php?showtopic=1225

Tu peux constater son efficacité en regardant son résultat aux tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

=========================================================================

=> Pour sécuriser ta navigation

-- Un programme incontournable : SpyBot-Search & Destroy 1.5 (scan passif + protection préventive avec ses 2 résidents, ses vaccinations et sa liste Hosts )
https://www.safer-networking.org/

-démo d’utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
-Tuto :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

--Essaye et adopte le navigateur Firefox plus sûr /sécurisé qu’IE

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

Firefox n’utilise pas le dangereux protocole ActiveX
Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html
S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html

--Comportement à adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html

=========================================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

=========================================================================

=> Pour améliorer la sécurité de ton PC prends quelques instants pour lire

Sécuriser son PC +WIFI (versions "hot" & "light") de Philae https://forum.pcastuces.com/default.asp

https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf (téléchargeable en Pdf)

=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent ):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
https://lexpansion.lexpress.fr/actualite-economique/

* Prévention sur deux autres types d'infection d'actualité :

MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/

Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

=========================================================================

=> Pour optimiser un peu ton PC

* Pense à lancer une défragmentation.
Tuto : http://www.linternaute.com/hightech/nettoyagepc/nettoyagepc1.shtml

* Gère tes services grâce à ces 2 liens
http://speedweb1.free.fr/frames2.php?page=service3 et http://speedweb1.free.fr/frames2.php?page=service4

* Utilise Zeb Utility de Sebdraluorg
une application ne nécessitant pas d’installation, pour optimiser un poil ton pc. (merci a l ami Zebulon)
Téléchargement : https://www.zebulon.fr/telechargements/utilitaires/optimisation/zeb-utility.html
Tuto : https://www.zebulon.fr/dossiers/autres/58-zebutility.html

* Utilise Ccleaner fonction nettoyeur de manière journalière.

=========================================================================

=> Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection

- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = Ver / Virus MSN

---> https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)

Indique aussi le nom du Forum qui t'a aidé CCM

Tuto http://www.malekal.com/malwarecomplaints.html

=========================================================================

Voila bon courage et bonnes lectures.

Content d'avoir pu t'aider.

Salut.

Marie-Hélène0487

Bonsoir,

Tout d'abord, excuse-moi de ne pas t'avoir répondu plus tôt, mais mes obligations familiales ne m'ont pas laissé beaucoup de temps ce jour :(
D'autre part, je vais mettre en pratique dès demain tous ces bons conseils que tu m'as envoyé ;)
Pour l'ordi : pareil qu'hier. J'ai fait un scan cet après midi, Avast me trouve Small-JMH dans System Volume Information_restore. Je n'ai pas encore fait la restauration système .
Enfin et pour conclure, je te remercie grandement pour l'intérêt et le sérieux que tu as apporté pour résoudre ce problème d'infection de virus.
Je te souhaite bonne continuation et plein d'autres bonnes choses :))
Salut.
Marie-Hélène.

Réponse 40 / 41

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir marie Helene

Ce fut avec plaisir ;-)

Partage avec ceux qui t'entourent ce que tu as pu apprendre au cours de cette expérience, aide-les à sécuriser leurs PCs, à mettre leurs logiciels à jours et à mettre en place des mesures préventives et une attitude de surf "saine" pour éviter les problèmes.
C'est tellement mieux un PC qui fonctionne bien !

Salut et bonne continuation

Discussions similaires

Softonic,est-ce un virus ?

message de postmaster incessant !

Désinstaller Softonic

Message Apple virus !!

4 virus en raison d’un porno ????

Votre réponse

Discussions similaires