Rapport navilog

Fermé
kesana Messages postés 5 Date d'inscription dimanche 8 avril 2007 Statut Membre Dernière intervention 10 avril 2008 - 9 avril 2008 à 21:19
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 10 avril 2008 à 22:26
Bonjour, j'aimerais un peu d'aide ^^ Voila mon rapport

Search Navipromo version 3.5.3 commencé le 09/04/2008 à 21:08:15,12

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Romain"

Mise à jour le 09.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : FAT32

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Romain\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Romain\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Romain\menud+~1\progra~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

eyxvsvndm.exe trouvé !
psmzdq.exe trouvé !
wtbwapp.exe trouvé !
ztnkomwng.exe trouvé !

* Recherche dans "C:\Documents and Settings\Romain\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\INVITÉ\locals~1\applic~1" *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Romain\locals~1\applic~1" :


* Dans "C:\DOCUME~1\INVITÉ\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 09/04/2008 à 21:10:14,98 ***



Merci a celui ou celle qui m'aidera :)

7 réponses

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
9 avril 2008 à 21:35
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc note va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc note. Ton bureau va réapparaître

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau.
Démarrer > Panneau de configuration > Options Internet
Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"- "OOO "Favorit""

> Supprime-les

poste le rapport obtenu et un rapport hijack this
0
kesana Messages postés 5 Date d'inscription dimanche 8 avril 2007 Statut Membre Dernière intervention 10 avril 2008
9 avril 2008 à 22:06
Merci a toi ;) y'avait rien du tous dans certificats etc...


Clean Navipromo version 3.5.3 commencé le 09/04/2008 à 21:43:34,89

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Romain"

Mise à jour le 09.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : FAT32

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

eyxvsvndm.exe trouvé !
Copie eyxvsvndm.exe réalisée avec succès !
eyxvsvndm.exe supprimé !

psmzdq.exe trouvé !
Copie psmzdq.exe réalisée avec succès !
psmzdq.exe supprimé !

wtbwapp.exe trouvé !
Copie wtbwapp.exe réalisée avec succès !
wtbwapp.exe supprimé !

ztnkomwng.exe trouvé !
Copie ztnkomwng.exe réalisée avec succès !
ztnkomwng.exe supprimé !


* Suppression dans "C:\Documents and Settings\Romain\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\INVITÉ\locals~1\applic~1" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Romain\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Romain\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Romain\menud+~1\progra~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Romain\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Romain\locals~1\applic~1" *


* Dans "C:\DOCUME~1\INVITÉ\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 09/04/2008 à 21:46:52,54 ***

Pour hijack this ( pas sur de mon coup ^^' )

Rapport lopxpMH2 version 2.0 fait à 22:03:49,36 le 09/04/2008
C:\Documents and Settings\Romain\Bureau\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\Default User\Application Data

12/09/2006 05:45 <REP> .
12/09/2006 05:45 <REP> ..
28/10/2006 20:03 <REP> Identities
15/10/2004 11:51 <REP> Microsoft
15/10/2004 11:51 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

12/09/2006 05:45 <REP> .
12/09/2006 05:45 <REP> ..
28/10/2006 20:03 <REP> ApplicationHistory
15/10/2004 12:00 <REP> Microsoft
28/10/2006 20:03 135 fusioncache.dat
1 fichier(s) 135 octets
4 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\All Users\Application Data

12/09/2006 05:45 <REP> .
12/09/2006 05:45 <REP> ..
24/08/2006 13:19 <REP> Adobe
30/09/2007 19:41 <REP> Apple
14/11/2006 22:23 <REP> Apple Computer
28/12/2006 01:32 <REP> BOONTY
25/12/2007 17:27 <REP> Cast ping base frag
28/10/2006 20:10 <REP> CyberLink
21/02/2007 17:22 <REP> Google
23/11/2007 19:53 <REP> Macrovision
25/12/2007 23:36 <REP> Messenger Plus!
15/10/2004 11:51 <REP> Microsoft
29/10/2006 19:01 <REP> nView_Profiles
10/02/2007 15:59 <REP> Spybot - Search & Destroy
24/08/2006 13:26 <REP> Symantec
17/12/2006 11:25 <REP> Windows Genuine Advantage
15/12/2006 22:57 <REP> Windows Live Toolbar
25/12/2007 12:47 <REP> WLInstaller
15/10/2004 11:51 62 desktop.ini
1 fichier(s) 62 octets
18 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\NetworkService\Application Data

12/09/2006 05:45 <REP> .
12/09/2006 05:45 <REP> ..
15/10/2004 11:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

12/09/2006 05:45 <REP> .
12/09/2006 05:45 <REP> ..
15/10/2007 15:36 <REP> Apple
15/10/2004 12:04 <REP> Microsoft
30/06/2007 14:27 <REP> PCHealth
0 fichier(s) 0 octets
5 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\LocalService\Application Data

12/09/2006 05:45 <REP> .
12/09/2006 05:45 <REP> ..
15/10/2004 11:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

12/09/2006 05:45 <REP> .
12/09/2006 05:45 <REP> ..
15/10/2004 12:04 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\Romain\Application Data

28/10/2006 20:04 <REP> .
28/10/2006 20:04 <REP> ..
30/10/2006 14:32 <REP> Adobe
10/03/2007 00:23 <REP> AdobeAUM
27/11/2006 19:29 <REP> AdobeUM
14/11/2006 22:25 <REP> Apple Computer
05/12/2006 19:31 <REP> BitTorrent
29/10/2006 19:37 <REP> CyberLink
12/12/2007 21:14 <REP> DivX
22/03/2008 18:21 <REP> D-Jix Media
21/02/2007 17:24 <REP> Google
30/11/2006 19:20 <REP> Help
03/11/2006 20:56 <REP> ICAClient
28/10/2006 20:04 <REP> Identities
01/07/2007 15:34 <REP> InstallShield
08/03/2008 14:03 <REP> La Bataille pour la Terre du Milieu
07/12/2006 18:39 <REP> Leadertech
01/11/2006 17:22 <REP> Lionhead Studios
28/10/2006 20:06 <REP> Macromedia
28/10/2006 20:04 <REP> Microsoft
21/01/2007 11:45 <REP> Moje pliki Bitwy o Sródziemie™ II
09/12/2006 15:01 <REP> Mozilla
01/12/2006 19:37 <REP> MSNInstaller
03/03/2007 14:56 <REP> Screenshot Sender
25/12/2007 11:40 <REP> SecuROM
02/02/2007 19:18 <REP> Sun
16/03/2008 21:01 <REP> SystemRequirementsLab
14/11/2006 22:22 <REP> Teleca
25/02/2007 00:34 <REP> vlc
04/03/2007 13:49 <REP> vmntoolbar
15/12/2006 22:58 <REP> Windows Desktop Search
28/10/2006 20:04 62 desktop.ini
06/01/2007 14:02 59 480 GDIPFONTCACHEV1.DAT
2 fichier(s) 59 542 octets
31 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\Romain\Local Settings\Application Data

28/10/2006 20:04 <REP> .
28/10/2006 20:04 <REP> ..
28/10/2006 20:10 <REP> Acer Arcade
30/10/2006 14:32 <REP> Adobe
30/09/2007 19:42 <REP> Apple
30/11/2006 22:51 <REP> Apple Computer
28/10/2006 20:04 <REP> ApplicationHistory
09/04/2008 20:21 <REP> Ashampoo
28/12/2006 19:56 <REP> Electronic Arts
21/02/2007 17:22 <REP> Google
30/11/2006 19:20 <REP> Help
05/11/2006 02:22 <REP> Identities
28/10/2006 20:04 <REP> Microsoft
09/12/2006 15:01 <REP> Mozilla
29/10/2006 20:01 <REP> NFS Underground 2
01/11/2006 02:12 <REP> Oblivion
18/09/2007 20:12 <REP> PCHealth
29/10/2006 19:37 <REP> Powercinema
15/11/2006 21:22 <REP> Sony Ericsson
05/11/2006 02:33 <REP> WMTools Downloaded Files
30/10/2006 18:06 155 648 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
28/10/2006 20:04 129 fusioncache.dat
28/10/2006 20:11 59 480 GDIPFONTCACHEV1.DAT
20/10/2007 01:16 2 186 746 IconCache.db
4 fichier(s) 2 402 003 octets
20 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\Invité\Application Data

05/12/2006 21:49 <REP> .
05/12/2006 21:49 <REP> ..
05/12/2006 21:49 <REP> Identities
05/12/2006 22:00 <REP> Macromedia
05/12/2006 21:49 <REP> Microsoft
05/12/2006 21:49 <REP> Teleca
05/12/2006 21:49 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\Invité\Local Settings\Application Data

05/12/2006 21:49 <REP> .
05/12/2006 21:49 <REP> ..
05/12/2006 21:49 <REP> Acer Arcade
05/12/2006 21:49 <REP> ApplicationHistory
05/12/2006 21:59 <REP> Identities
05/12/2006 21:49 <REP> Microsoft
05/12/2006 21:49 129 fusioncache.dat
05/12/2006 21:49 50 712 GDIPFONTCACHEV1.DAT
2 fichier(s) 50 841 octets
6 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Documents and Settings\popo

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

12/09/2006 05:43 <REP> .
12/09/2006 05:43 <REP> ..
28/10/2006 20:03 <REP> Identities
15/10/2004 11:51 <REP> Microsoft
28/10/2006 20:03 <REP> Symantec
15/10/2004 11:51 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 4 665 507 840 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

12/09/2006 05:43 <REP> .
12/09/2006 05:43 <REP> ..
28/10/2006 20:03 <REP> ApplicationHistory
15/10/2004 12:00 <REP> Microsoft
28/10/2006 20:03 135 fusioncache.dat
28/10/2006 20:03 3 220 888 IconCache.db
2 fichier(s) 3 221 023 octets
4 Rép(s) 4 665 507 840 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\MP
MP inexploitable


C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
s  €!Ø    $ : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e  - t a s k  S Y S T E M   0 ×   $   

C:\WINDOWS\Tasks\Vérifier
Vérifier inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E195-A0D8

Répertoire de C:\Program Files

12/09/2006 05:45 <REP> .
12/09/2006 05:45 <REP> ..
21/03/2007 11:27 <REP> 1964
05/02/2008 14:58 <REP> 3DO
28/10/2006 20:09 <REP> Acer
24/08/2006 13:19 <REP> Acer Inc
24/08/2006 13:19 <REP> Adobe
28/01/2007 12:24 <REP> Alwil Software
30/09/2007 19:42 <REP> Apple Software Update
03/11/2006 20:45 <REP> Application Compatibility Toolkit
09/04/2008 20:17 <REP> Ashampoo
12/01/2007 15:35 <REP> BitTorrent
03/11/2006 20:53 <REP> Citrix
02/01/2007 20:55 <REP> Common Files
15/10/2004 11:58 <REP> ComPlus Applications
24/08/2006 13:13 <REP> CONEXANT
28/10/2006 20:07 <REP> CyberLink
27/09/2007 22:20 <REP> Dealio
24/08/2006 13:09 <REP> DIFX
25/08/2007 01:26 <REP> DivX
22/03/2008 18:21 <REP> D-Jix
29/10/2006 19:29 <REP> D-Tools
29/01/2007 21:06 <REP> EA GAMES
15/10/2004 11:52 <REP> Fichiers communs
07/02/2007 23:19 <REP> GetRight
10/12/2006 00:27 <REP> GIMP-2.0
15/09/2007 19:49 <REP> GlobFX Technologies
21/02/2007 17:21 <REP> Google
15/10/2004 11:58 <REP> Internet Explorer
18/02/2008 15:45 <REP> iPod
30/09/2007 19:43 <REP> iTunes
17/04/2007 19:12 <REP> Java
28/10/2006 20:08 <REP> Launch Manager
21/02/2007 17:23 <REP> Lavasoft
09/09/2007 15:23 <REP> L'Entraîneur 5
03/09/2007 17:00 <REP> Logon Loader
15/10/2004 11:57 <REP> Messenger
15/12/2006 23:06 <REP> Messenger Plus! Live
15/12/2006 23:02 <REP> MessengerPlus! 3
11/05/2007 03:02 <REP> Microsoft CAPICOM 2.1.0.2
15/10/2004 12:01 <REP> microsoft frontpage
27/11/2006 19:46 <REP> Microsoft Office
15/01/2008 21:03 <REP> Microsoft SQL Server Compact Edition
27/11/2006 19:47 <REP> Microsoft Visual Studio
27/11/2006 19:38 <REP> Microsoft Works
27/11/2006 19:38 <REP> Microsoft Works Suite 2003
15/10/2004 11:58 <REP> Movie Maker
09/12/2006 15:01 <REP> Mozilla Firefox
25/06/2007 16:06 <REP> Mplayer
15/10/2004 11:57 <REP> MSN
15/10/2004 11:57 <REP> MSN Gaming Zone
15/12/2006 14:19 <REP> MSXML 4.0
09/04/2008 21:06 <REP> Navilog1
15/10/2004 11:58 <REP> NetMeeting
09/04/2008 19:27 <REP> NetProject
24/08/2006 13:17 <REP> NewTech Infosystems
15/10/2004 11:57 <REP> Online Services
15/10/2004 11:58 <REP> Outlook Express
30/11/2007 20:46 <REP> PKR
30/09/2007 19:42 <REP> QuickTime
24/08/2006 13:12 <REP> Realtek
22/07/2007 14:45 <REP> SAGEM
30/11/2006 19:08 <REP> Securitoo
15/10/2004 11:59 <REP> Services en ligne
14/11/2006 22:36 <REP> SigmaTel
01/11/2006 00:26 <REP> SLD Codec Pack
07/02/2007 23:06 <REP> SpeedSim
10/02/2007 15:59 <REP> Spybot - Search & Destroy
24/08/2006 13:26 <REP> Symantec
24/08/2006 13:14 <REP> Synaptics
16/03/2008 21:01 <REP> SystemRequirementsLab
15/09/2007 20:02 <REP> t@b
20/12/2006 20:20 <REP> thriXXX
08/06/2007 22:55 <REP> Ubi Soft
01/12/2007 13:56 <REP> Ubisoft
07/03/2007 17:32 <REP> Ulead Systems
29/10/2006 19:28 <REP> UltraISO
03/09/2007 17:37 <REP> UxTheme Multipatcher Fr
28/12/2007 16:42 <REP> Veoh Networks
25/02/2007 00:33 <REP> VideoLAN
04/03/2007 13:49 <REP> Visicom Media
04/03/2007 13:49 <REP> vmntoolbar
30/11/2006 19:13 <REP> Wanadoo
11/05/2007 17:39 <REP> Windows Defender
15/12/2006 22:58 <REP> Windows Desktop Search
09/06/2007 00:08 <REP> Windows Live
15/12/2006 22:54 <REP> Windows Live Toolbar
27/12/2006 16:57 <REP> Windows Media Connect 2
15/10/2004 11:57 <REP> Windows Media Player
15/10/2004 11:57 <REP> Windows NT
15/09/2007 13:10 8 597 840 Windows_Movie_Maker_2.02.exe
01/12/2006 22:29 <REP> WinRAR
15/10/2004 12:01 <REP> xerox
1 fichier(s) 8 597 840 octets
95 Rép(s) 4 665 507 840 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
zonenxt.msn-int.com REG_BINARY
zonenxt.msn-ppe.com REG_BINARY
zone.msn.com REG_BINARY
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\ROMAIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\A1FSU9UC.DEFAULT\HOSTPERM.1

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
9 avril 2008 à 22:24
/ Ouvre le dossier lopxpMH2, double-clique sur le fichier "OuvreScript.bat" : le fichier lop.bfu s'ouvre alors. Colle dans ce fichier tout le contenu de la citation suivante :

RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|netbios-wait.com
RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.netbios-wait.com

FolderDelete %ALLUSERSAPPDATA%\Cast ping base frag

SystemEmptyTempFolder
SystemEmptyInternetCache
SystemEmptyRecycleBin


Ferme ensuite le fichier lop.bfu.

/ Toujours dans le dossier lopxpMH2, double-clique sur le raccourci "BFU.zip", le téléchargement du programme est proposé, accepte puis décompresse-le.

Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix
Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
Double clique sur smitfraudfix.cmd Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport
Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.


*** Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur ***

/ Démarre le "Brute Force Uninstaller" en double-cliquant sur le fichier BFU.exe BFU. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et indique-lui le chemin du fichier lop.bfu qui se trouve dans ton dossier lopxpMH2, sur ton bureau
Ceci étant fait, clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaisse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

· Double cliquer sur Smitfraudfix.exe.
· Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
· A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté.
· A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
· Quitter le programme en appuyant sur Q.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Redémarrer normalement et coller sur le forum le rapport généré et un rapport hijack this
https://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
https://forum.pcastuces.com/tutoriel_hijackthis_v_2002___tutoriel-f31s8.htm

0
kesana Messages postés 5 Date d'inscription dimanche 8 avril 2007 Statut Membre Dernière intervention 10 avril 2008
9 avril 2008 à 22:48
"Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix. "

Je ne comprends pas ^^' je doit installer quoi ... ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
10 avril 2008 à 09:43
tu télécharges et tu installes smitfraud
tu as un tuto pour le faire fonctionner ici
http://siri.urz.free.fr/Fix/SmitfraudFix.php
0
kesana Messages postés 5 Date d'inscription dimanche 8 avril 2007 Statut Membre Dernière intervention 10 avril 2008
10 avril 2008 à 20:51
Bonjour voilà le premier rapport demander

SmitFraudFix v2.310

Rapport fait à 20:04:02,42, 10/04/2008
Executé à partir de C:\Documents and Settings\Romain\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINJDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\Citrix\Client ICA\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\NetProject\scit.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\NetProject\sbsm.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\DOCUME~1\Romain\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\215651\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Romain


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Romain\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ROMAIN\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\NetProject\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{65bbf06c-ea06-4818-92a3-f3550d0e1004}"="asparagine"

[HKEY_CLASSES_ROOT\CLSID\{65bbf06c-ea06-4818-92a3-f3550d0e1004}\InProcServer32]
@="C:\WINDOWS\system32\rkvdr.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{65bbf06c-ea06-4818-92a3-f3550d0e1004}\InProcServer32]
@="C:\WINDOWS\system32\rkvdr.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR5005G Wireless Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{07E7FA2E-238D-48BB-9331-1CF614C0AE6F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{07E7FA2E-238D-48BB-9331-1CF614C0AE6F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D96C0CBE-AF5E-48E2-8841-5B9EB65B9C12}: NameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{07E7FA2E-238D-48BB-9331-1CF614C0AE6F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{07E7FA2E-238D-48BB-9331-1CF614C0AE6F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:47, on 10/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Citrix\Client ICA\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOCUME~1\Romain\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Romain\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Piolet Toolbar Helper - {EDDF3383-EC5F-49DF-A8B6-CEC2D8F6164C} - C:\Program Files\Piolet Toolbar\v3.2.0.0\Piolet_Toolbar.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Piolet Toolbar - {C75C8E7E-5059-4469-AC11-D7544B260382} - C:\Program Files\Piolet Toolbar\v3.2.0.0\Piolet_Toolbar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: ['Ashampoo AntiSpyWare 2 Guard'] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /scan
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?c9ae0b869e3c4490970396112ad8ef1e
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?c9ae0b869e3c4490970396112ad8ef1e
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieservicegate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieservicegate.com/redirect.php (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
10 avril 2008 à 22:26
tu as passé smitfradfix option2?
poste le rapport obtenu
si non fais ceci
Redémarrer l'ordinateur en mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte habituel, et non Administrateur

· Double cliquer sur Smitfraudfix.exe.
· Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
· A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté.
· A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
· Quitter le programme en appuyant sur Q.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Redémarrer normalement et coller sur le forum le rapport

Télécharge BTFix de bibi26
http://cluster1.easy-hebergement.net/
Dé zippe l'archive sur ton Bureau (clic droit/extraire…)
Ouvre le dossier BTFix
Double clique sur BTFix.exe
Clique sur Rechercher
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse
Ouvre BTFix.
Clique sur Nettoyer
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

poste dans l'ordre
SmitFraudFix option2
BTFix
et un rapport hijack this
0