Problème récurent rootkit-gen

Question

Bonjour,

je suis nouvelle et complétement néophite en info mais néanmoins voici les infos demandées.
Merci de votre aide. 
Bonne journée

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:11, on 18/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared 

Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers 

communs\InstallShield\UpdateService\issch.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\documents and settings\hp_propriétaire\local settings\application 

data\esigcy.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL 

= 

https://www8.hp.com/fr/fr/home.html

05&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 

https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = 

https://www8.hp.com/fr/fr/home.html

05&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

https://www8.hp.com/fr/fr/home.html

&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName 

= Liens
R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} 

- C:\PROGRA~1\ORANGE~1\TOOLBA~2.DLL
R3 - URLSearchHook: Search Class - 

{08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program 

Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} 

- C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - 

{53707962-6F74-2D53-2644-206D7942484F} - 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 

C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no 

file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - 

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers 

communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no 

file)
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - (no 

file)
O2 - BHO: Google Toolbar Helper - 

{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program 

files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - 

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program 

Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - 

{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live 

Toolbar\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - 

c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - 

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program 

Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no 

file)
O3 - Toolbar: Windows Live Toolbar - 

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live 

Toolbar\msntb.dll
O3 - Toolbar: barre d'outils Orange - 

{D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange 

Toolbar FR\ToolbarContainer234.dll
O3 - Toolbar: (no name) - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no 

file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - 

c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ISUSPM Startup] 

C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers 

communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE 

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LSBWatcher] 

c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows 

Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search 

& Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" 

/AUTO
O4 - HKCU\..\Run: [esigcy] c:\documents and 

settings\hp_propriétaire\local settings\application data\esigcy.exe 

esigcy
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft 

Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 

present
O8 - Extra context menu item: &Windows Live Search - res://C:\Program 

Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program 

Files\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - 

https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - 

res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Masquer les images - 

C:\WINDOWS\web\MaskImage.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - 

C:\Program Files\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: traduire la page - 

C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cce33.html
O8 - Extra context menu item: traduire le texte sélectionné - 

C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cce34.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} 

- C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 

Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} 

- C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: GamesBar - 

{1A93C934-025B-4c3a-B38E-9654A7003239} - 

C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Ajout Direct - 

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows 

Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - 

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows 

Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - 

C:\PROGRA~1\Poker.fr\client.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} 

- C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search 

Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} 

- C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - 

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} 

- C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - 

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network 

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} 

- C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program 

Files\Messenger\msmsgs.exe
O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - 

http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1071_em_XP.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - 

http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation 

Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - 

http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1068_em_XP.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) 

- 

http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/c

lient/muweb_site.cab?1206303072734
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl 

Class) - 

http://jeuxenligne.orange.fr/GameShell/online/fr/luxor/mjolauncher.cab
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - 

http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} 

(MessengerStatsClient Class) - 

http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.c

ab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game 

Host) - 

http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHos

t.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash 

Object) - 

https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - 

C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - 

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL 

Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program 

Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program 

Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program 

Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers 

communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - 

C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - 

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file 

missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - 

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe (file 

missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner 

- c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file 

missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - 

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file 

missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France 

Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared 

Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program 

Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - 

C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Unknown owner - 

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - 

Unknown owner - C:\Program Files\Norton AntiVirus
avapsvc.exe (file 

missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - 

Unknown owner - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe 

(file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown 

owner - C:\Program Files\Fichiers communs\Symantec Shared\Security 

Console\NSCSRVCE.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA 

Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - 

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file 

missing)
O23 - Service: Symantec AVScan (SAVScan) - Unknown owner - C:\Program 

Files\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown 

owner - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe 

(file missing)
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Unknown owner - 

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe 

(file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket 

Division Software - C:\Program Files\Alcohol Soft\Alcohol 

120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program 

Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe (file 

missing)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - c:\Program 

Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe 

(file missing)

sKe69 · Answer

Salut ,
A- desinstale proprement Norton, ilreste encore quelques traces :
Télécharges Norton removal tool sur ton bureau :
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe

Déconnectes toi . 
Ensuite désinstales Norton avec Norton removal tool :Tu doubles click dessus et te laisses guider : il faut bien le désinstaler ( fait la manipe 2 fois si possible ). 

B-1-Vas dans panneau de config/ajout et suppression de prg . 
regardes dans la listes si tu trouves un prg comme : " CID Help ", "Circle Developement" ou 
"Adverts" --->si ils s'y trouvent , supprimes les .

2-Télécharges Lopxp (by Moe) : http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe 
-> Double click sur Lopxpsetup.exe pour lancer l'installation 
-> Choisis l'option 1 
-> Patientes jusqu'à ce qu'on te demande d'appuyer sur une touche. 
-> Un rapport sera alors crée, copie/colle le dans ta prochaine réponse ...

sKe69 · Answer

Bon ...

fais ce-ci :
Télécharges Navilog1 sur ton bureau : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnectes toi,désactives tes défences( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !!
  
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisses-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 

Appuies sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" ) 

TUTO (aide)  : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

sKe69 · Answer

C'est normal pour le changement ,c'est moi ^^ j'ai changer de fusil d'épaule au dernier momment ...
Si tu a télécharger Malwarebytes et que tu l'as instalé c'est très bien , on s'en servira peut-être plus tard  ;)

Du sûr pour la suite :

 !! Déconnectes toi, désactives tes défences ( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !!

--->Double-cliques sur le raccourci Navilog1 

Arriver au menu principal, choisir l'option 2 et valider (nettoyage "automatique" ). 

Le fix demandera ensuite de "redémarrer le PC", fermer toutes les fenêtres ouvertes
et appuyer sur une touche comme demandé.(si le PC ne redémarre pas automatiquement, le faire manuellement) 
Au redémarrage du PC, choisir la session habituelle si nécessaire. 

Patienter jusqu'au message : "Nettoyage Terminé le ..."
 
Le bureau revient, puis le bloc-note s'ouvre .  
Sauvegarder ce rapport de manière à le retrouver, puis fermer le bloc-note ... 
(Le rapport sera en outre sauvegardé à la racine du disque "C\:cleannavi.txt")
 
Postes ce rapport dans ta nouvelle réponse accompagné d'un nouveau rapport hijacthis pour analyse et attends la suite ... 

(PS : Si le bureau ne réapparaît pas, faire CTRL+ALT+SUPPR pour ouvrir le gestionnaire de tâches. 
Choisir l'onglet processus. Cliquer en haut à gauche sur fichiers et choisir exécuter, 
Taper explorer et valider.)


-->postes moi ces rapports et je les analyserai demain, car là je dois m'absenter ...

Donc à demain pour la suite , il reste pas mal de chose à voir ;)

sKe69 · Answer

la suite ,
Malwarebytes ^^
Je te redonne la manipe :

Télécharges MalwareByte's : 
ftp://ftp.commentcamarche.com/download/mbam-setup.exe
 
un tuto sympa : https://forum.pcastuces.com/sujet.asp?f=31&s=3 

Instales le ( choisis bien "francais" ; ne modifies pas les parramètres d'instale ) et mets le à jour . 

Puis redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les ojbets infectés soient validés, puis click sur " supression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la supression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

sKe69 · Answer

Très bien ... réouvre Malwarebytes et va sur l'onglet " quarantaine " : supprime tout .

Il y a qlque chose qui me chagrine sur le rapport hijackthis , j'aimerai qu l'on arrête le service concernant Boonty Games ( nid à spam et autres ) 
Voici une petite information sur Boonty games :

Leur politique : 

"Il se peut que nous partageons aussi des informations payantes avec des tiers 
qui fournissent des services payants et partage des données regroupées montrant le type 
et le nombre de jeux vidéos que vous téléchargez, votre age, votre sexe, vos occupations, 
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur, 
internet et intérêts pour les jeux vidéos, activités et entraînement des jeux édités. 
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails 
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..." 

Si tu n'y vois aucune objection , libre à toi ... on passe .

sinon pour supprimer ,fais ce qui suit : 

Désactivation de service : 
- Cliques sur Démarrer ---> Exécuter 
- Saisis : Services.msc puis OK 
- Choisis le mode "Etendu" (onglets inférieurs) 
- Grâce à la barre de défilement (à droite) recherches le service suivant: 

Code: 
" Boonty Games " 

- Quand le service est trouvé, pointes dessus, double-clique (bouton gauche). 
- Dans la fenêtre suivante qui apparait, sous l'onglet Général cliques sur le bouton Arrêter, 
puis déroules le Type de Démarrage pour le modifier en "Désactivé" 
- Cliques sur "Appliquer" puis OK 

Tuto si besoin : https://www.zebulon.fr/dossiers/windows/31-services.html 

Ensuite rends toi su ton PC ici : "C:\Program Files\Common Files\BOONTY " <---supprimes ce dossier ( et tout son contenu ...) . 

---> une foi cela vu , refais un nouvel hijack et postes moi le pour que l'on puisse finaliser ...

eldeis · Answer

Bonjour,je viens de le faire (hier quand j'ai voulu, eu un gros gros bug)

et comme de bien entendu, a chaque démarrage de l'ordi, j'ai toujours le message sympatique m'informant qu'un rootkit a été trouvé...
il es bien là; il veut vraiment pas partir.. Bref

Je sais que la question peut semblée stupide mais depuis, l'ordi rame grave. Les pages sont super longues à chargé ont dirait que j'ai toujours le bas débit.
est ce que ça vient du rootkit ou j'ai encore des trucs sournois en perspective??

Merci sincèrement de m'aider car, là, toute seule, j'aurais tout viré!
 mais le rootkit serait encore là (de toute façon, il es toujours là)
enfin bref, merci et bonne journée.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:10, on 20/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared 

Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers 

communs\InstallShield\UpdateService\issch.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL 

= 

https://www8.hp.com/fr/fr/home.html

05&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 

https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = 

https://www8.hp.com/fr/fr/home.html

05&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

https://www8.hp.com/fr/fr/home.html

&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName 

= Liens
R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} 

- C:\PROGRA~1\ORANGE~1\TOOLBA~2.DLL
R3 - URLSearchHook: Search Class - 

{08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program 

Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} 

- C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - 

{53707962-6F74-2D53-2644-206D7942484F} - 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 

C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no 

file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - 

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers 

communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - 

{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program 

files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - 

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program 

Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - 

{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live 

Toolbar\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - 

c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - 

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program 

Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - 

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live 

Toolbar\msntb.dll
O3 - Toolbar: barre d'outils Orange - 

{D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange 

Toolbar FR\ToolbarContainer234.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - 

c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ISUSPM Startup] 

C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers 

communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE 

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LSBWatcher] 

c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows 

Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search 

& Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" 

/AUTO
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft 

Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 

present
O8 - Extra context menu item: &Windows Live Search - res://C:\Program 

Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program 

Files\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - 

https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - 

res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Masquer les images - 

C:\WINDOWS\web\MaskImage.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - 

C:\Program Files\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: traduire la page - 

C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cce33.html
O8 - Extra context menu item: traduire le texte sélectionné - 

C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cce34.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} 

- C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 

Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - 

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows 

Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - 

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows 

Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - 

C:\PROGRA~1\Poker.fr\client.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} 

- C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search 

Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} 

- C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - 

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} 

- C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - 

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network 

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} 

- C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program 

Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - 

http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation 

Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) 

- 

http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/c

lient/muweb_site.cab?1206303072734
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl 

Class) - 

http://jeuxenligne.orange.fr/GameShell/online/fr/luxor/mjolauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} 

(MessengerStatsClient Class) - 

http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.c

ab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game 

Host) - 

http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHos

t.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash 

Object) - 

https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - 

C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - 

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL 

Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program 

Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program 

Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program 

Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - 

C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France 

Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared 

Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program 

Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - 

C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA 

Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - 

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file 

missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket 

Division Software - C:\Program Files\Alcohol Soft\Alcohol 

120\StarWind\StarWindService.exe

sKe69 · Answer

Salut,
1-j'ai toujours le message sympatique m'informant qu'un rootkit a été trouvé...  ---> peut-tu me donné son nom svp...

2- ensuite fais cequi suit :
Télécharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe. 

--->Double clique sur SDFix.exe et choisis "Install" .

Puis une fois l'instale faite ,redémarre en mode sans échec . 
Comment aller en Mode sans échec :
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. 
--->Tape Y pour lancer le script. 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

sKe69 · Answer

1-Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'instalation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

Utilisation:
vas dans "nettoyeur" : fait annalyse puis nettoyage 
et vas dans "registre" : fait chercher les erreurs et réparer ( plusieur fois jusqu'a ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2-Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

fait un copier/coller de ce qui suit dans la case prévu pour la recherche : 

C:\Documents and Settings\HP_Propriétaire\Mes documents\Correspondance personnelle\VACANCES\LOZERE 2006\Sports, prestataires Lozère 2006\Liste de prestataires\Sports et nature dans les Cévennes et Gorges du Tarn Vacances actives dans le Sud du Massif Central_fichiers\Thumbs.db

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant .

eldeis · Answer

Ben c'est justement ça le problème j'ai fais reg cleaner , c cleaner, clearprog, rogue remover,Galry utilities ...plein de petits programme dans le genre et le rootkit est quand meme toujours la c'est pour sa que je demande de l'aide extérieur et meme la on y es pas arrivé mais je désespère pas heureusement.

Sinon, je vais sur virus total et je post le rapport

sKe69 · Answer

Fais le nettoyage avec CCleaner quand mème ... c'est nécessaire car SDFix à chopper une bestiole ^^

sKe69 · Answer

fais virus total , postes le rapport obtenu ... puis fais CCleaner ...

sKe69 · Answer

laisse tomber Virus Total ... effectivement, c'est pas normal

Refais un coup de CCleaner ( registre compris ) 

Et dis moi ou en est ton PC avant de poursuivre , toujours des alertes de Avast ?

eldeis · Answer

la je les pas rallumer depuis je suis avec virus total et en plus l'alerte je crois que c'est pas avast (je crois)
en plus maintenant je dis supprimer et pas redémarrer et au début le faisait systématiquement et chaque analyse = 2 heures
donc j'arrete virus total fais un ccleaner et je reviens

eldeis · Answer

sa y es g rallumé tjr aussi lent et le mess avast est tjr la!!

eldeis · Answer

en plus g constament des scans d'accès courrier sortant alors que je suis meme pas sur la messagerie et ya jamais mon adresse sur c mess! comment les arréter 
je c j'abuz...merci quand meme!

sKe69 · Answer

Ok ... on passe au choses sérieuses

fais exactement ce qui suit : 

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

----------------------------------------------- ATTENTION ---------------------------------------------------------------
!! déconnectes toi, fermes tes applications en cours et DESACTIVES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuies sur la touche Y (Yes) pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 
---> si un message d'erreur windows apparaît à un moment , clik sur la croix en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

sKe69 · Answer

A -Avoir accès aux fichiers cachés. 
Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
"Afficher les fichiers et dossiers cachés" ---> coché 
"Masquer les extensions des fichiers dont le type est connu" ---> décoché


B 1-Crée un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , click droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de crée : 

File:: 
C:\WINDOWS\system32\dllcache\kstvtune.ax 
C:\WINDOWS\iun6002.exe 

Folder:: 
C:\Program Files\GamesBar 


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :
!! Déconnectes toi,fermes toute tes application et désactive ton antivirus le temps de la manipe ( tu le réactiveras après )  !! 

--->Sur ton bureau, fais un glisser avec ta souris le fichier CFScript sur l'icone de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touche à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

eldeis · Answer

Merci

ComboFix 08-06-19.4 - HP_Propriétaire 2008-06-20 22:37:33.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.561 [GMT 2:00]
Endroit: C:\Documents and Settings\HP_Propriétaire\Bureau\CFix.exe
Command switches used :: C:\Documents and Settings\HP_Propriétaire\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\WINDOWS\iun6002.exe
C:\WINDOWS\system32\dllcache\kstvtune.ax
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\GamesBar
C:\Program Files\GamesBar\Localization-French.ini
C:\Program Files\GamesBar\OBGet.exe
C:\Program Files\GamesBar\uninst.exe
C:\WINDOWS\iun6002.exe
C:\WINDOWS\system32\dllcache\kstvtune.ax

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-20 to 2008-06-20 ))))))))))))))))))))))))))))))))))))
.

2008-06-20 16:46 . 2008-06-20 16:46 <REP> d-------- C:\WINDOWS\ERUNT
2008-06-20 16:39 . 2008-06-20 17:22 <REP> d-------- C:\SDFix
2008-06-18 21:36 . 2008-06-18 22:24 <REP> d-------- C:\Program Files\Navilog1
2008-06-18 20:13 . 2008-06-18 21:09 <REP> d-------- C:\Program Files\Lopxp
2008-06-18 18:31 . 2008-06-18 18:31 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-18 18:31 . 2008-06-18 18:31 <REP> d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Malwarebytes
2008-06-18 18:31 . 2008-06-18 18:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-18 18:31 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-18 18:31 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-17 20:33 . 2008-06-19 10:30 4,196,474 --a------ C:\WINDOWS\pfirewall.log.old
2008-06-16 18:18 . 2008-06-20 22:39 71,006 --a------ C:\WINDOWS\system32\eyahxxzq.sys
2008-06-16 17:55 . 2008-06-16 17:55 <REP> d-------- C:\temp\30G64TF3
2008-06-16 17:55 . 2008-06-16 17:55 <REP> d-------- C:\Program Files\SharkMate
2008-06-16 02:52 . 2008-06-16 02:52 <REP> d-------- C:\Program Files\MP3 Player Utilities 3.75
2008-06-09 14:42 . 2008-06-09 14:42 <REP> d-------- C:\MPS
2008-06-09 14:42 . 2004-01-21 21:38 143,360 --a------ C:\WINDOWS\system32\unzip32.dll
2008-06-09 13:59 . 2008-06-09 13:59 <REP> d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Blender Foundation
2008-06-08 15:12 . 2008-06-08 15:12 <REP> d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Zylom
2008-06-08 15:12 . 2008-06-08 15:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SpinTop Games
2008-06-06 13:34 . 2008-06-06 13:34 <REP> d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\ArcticLine
2008-06-06 12:43 . 2004-08-19 16:09 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll
2008-06-06 12:43 . 2004-08-19 16:09 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll
2008-06-06 12:41 . 2004-08-19 16:09 54,784 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-06-06 12:39 . 2004-08-19 16:10 82,432 --a--c--- C:\WINDOWS\system32\dllcache\tp4mon.exe
2008-06-06 12:31 . 2004-08-19 16:09 363,520 --a--c--- C:\WINDOWS\system32\dllcache\psisdecd.dll
2008-06-06 12:31 . 2004-08-19 16:09 159,232 --a--c--- C:\WINDOWS\system32\dllcache\ptpusd.dll
2008-06-06 12:31 . 2004-08-19 16:10 33,280 --a--c--- C:\WINDOWS\system32\dllcache\psisrndr.ax
2008-06-06 12:30 . 2004-08-19 16:08 259,328 --a--c--- C:\WINDOWS\system32\dllcache\perm3dd.dll
2008-06-06 12:30 . 2004-08-19 16:08 211,712 --a--c--- C:\WINDOWS\system32\dllcache\perm2dll.dll
2008-06-06 12:26 . 2004-08-19 16:10 56,832 --a--c--- C:\WINDOWS\system32\dllcache\msdvbnp.ax
2008-06-06 12:25 . 2004-08-19 16:10 91,648 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-06-06 12:25 . 2004-08-19 16:10 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-06-06 12:24 . 2004-08-19 16:09 28,160 --a--c--- C:\WINDOWS\system32\dllcache\irmon.dll
2008-06-06 12:23 . 2004-08-19 16:09 154,112 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe
2008-06-06 12:23 . 2004-08-19 16:10 16,384 --a--c--- C:\WINDOWS\system32\dllcache\ipsink.ax
2008-06-06 12:22 . 2004-08-19 16:09 702,845 --a--c--- C:\WINDOWS\system32\dllcache\i81xdnt5.dll
2008-06-06 12:17 . 2004-08-19 16:10 20,992 --a--c--- C:\WINDOWS\system32\dllcache\dshowext.ax
2008-06-06 12:15 . 2004-08-19 16:09 252,416 --a--c--- C:\WINDOWS\system32\dllcache\ctmasetp.dll
2008-06-06 12:13 . 2004-08-19 16:10 18,432 --a--c--- C:\WINDOWS\system32\dllcache\bdaplgin.ax
2008-05-26 17:26 . 2008-05-26 17:26 <REP> d-------- C:\Gnumeric
2008-05-26 17:16 . 2008-05-26 17:16 <REP> d-------- C:\Program Files\RapidLetters
2008-05-26 17:04 . 2008-06-17 22:38 <REP> d-------- C:\Program Files\Woonoz
2008-05-26 13:02 . 2008-05-26 13:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\JollyBear

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 14:08 --------- d-----r C:\Program Files\a-squared Free
2008-06-17 20:26 --------- d-----r C:\Program Files\Petits utilitaires
2008-06-17 20:20 --------- d-----w C:\Program Files\JEUX DANS PROGRAMMES FILES
2008-06-17 18:58 --------- d-----w C:\Program Files\eMule
2008-06-17 13:05 --------- d-----w C:\Program Files\OutClock
2008-06-17 13:04 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-06-16 01:23 1,828 ----a-w C:\mediamp3.dat
2008-06-16 00:50 52,624 ----a-w C:\Documents and Settings\HP_Propriétaire\Application Data\wklnhst.dat
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 08:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-06-06 11:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-26 12:09 --------- d-----w C:\Program Files\microsoft money 2005
2008-05-26 11:02 --------- d-----w C:\Program Files\Fichiers communs\Oberon Media
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-05 16:31 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-04-21 07:02 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-20 21:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
2008-04-20 21:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sandlot Games
2008-04-20 15:42 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-04-20 15:32 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\Intervideo
2008-04-20 15:32 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\ACD Systems
2008-04-20 15:23 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\GlarySoft
2008-04-20 15:14 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-04-20 15:02 --------- d-----w C:\Program Files\Glary Utilities
2008-04-20 11:53 --------- d-----w C:\Program Files\Microsoft Baseline Security Analyzer 2
2008-04-20 11:49 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\AD ON Multimedia
2008-04-20 11:47 --------- d-----w C:\Program Files\RogueRemover FREE
2008-04-20 11:30 --------- d-----w C:\Program Files\ClearProg
2008-04-20 10:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-20 10:32 --------- d-----w C:\Program Files\Lavasoft
2008-04-20 09:51 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\Steganos
2008-04-20 09:34 --------- d-----w C:\Program Files\Steganos Safe One
2008-04-20 08:35 --------- d-----w C:\Program Files\Opera
2008-04-18 16:11 161 ----a-w C:\Delme.bat
2008-04-18 13:20 15,872 -c----w C:\WINDOWS\system32\winskfr.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-24 20:43 100,489 -c--a-w C:\WINDOWS\UninstallFirefox.exe
2008-03-24 20:36 100,482 ----a-w C:\WINDOWS\UninstallThunderbird.exe
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-01-27 14:19 66,784 -c--a-w C:\Documents and Settings\HP_Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
2007-02-02 18:42 16,384 -c--a-w C:\Program Files\wkcalcat.dat
2005-07-05 15:49 40,448 -c--a-w C:\Documents and Settings\HP_Propriétaire\setup.exe
2005-07-05 15:49 40,448 -c--a-w C:\Documents and Settings\HP_Propriétaire\setup.exe
1998-08-10 23:00 104,448 -c--a-w C:\Program Files\mswkscal.wcd
1995-09-20 14:16 456,976 ----a-w C:\Program Files\Fichiers communs\dao3032.dll
2008-04-15 21:04 594,944 ----a-w C:\Program Files\mozilla firefox\plugins\MannequinPlayer2.dll
2005-02-15 20:17 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
2005-02-12 18:20 0 -csha-w C:\WINDOWS\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((( snapshot@2008-06-20_21.58.23,92 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-20 19:47:13 32,768 ------w C:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-20 20:37:39 32,768 ------w C:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D3028143-6145-4318-99D3-3EDCE54A95A9}"= "C:\Program Files\Orange Toolbar FR\ToolbarContainer234.dll" [2007-11-20 23:58 250880]

[HKEY_CLASSES_ROOT\clsid\{d3028143-6145-4318-99d3-3edce54a95a9}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D3028143-6145-4318-99D3-3EDCE54A95A9}"= C:\Program Files\Orange Toolbar FR\ToolbarContainer234.dll [2007-11-20 23:58 250880]

[HKEY_CLASSES_ROOT\clsid\{d3028143-6145-4318-99d3-3edce54a95a9}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-03-25 11:48 906480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 14:03 221184]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 14:03 81920]
"SiSPower"="SiSPower.dll" [2004-09-24 10:49 49152 C:\WINDOWS\system32\SiSPower.dll]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2004-10-25 22:17 90112]
"nwiz"="nwiz.exe" [2004-09-29 21:23 921600 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-29 21:23 4603904]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 22:54 253952]
"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 20:02 61440]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-08-20 23:55 155648]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 17:04 52736]
"HPHmon06"="C:\WINDOWS\system32\hphmon06.exe" [2004-06-07 19:43 659456]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 21:47 57344 C:\WINDOWS\ALCXMNTR.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 12:01 88209 C:\WINDOWS\AGRSMMSG.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]

C:\Documents and Settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-09-30 23:30:04 57344]

C:\Documents and Settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-09-30 23:30:04 57344]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= vvlcodec.dll
"vidc.uyvy"= vvlcodec.dll
"vidc.yuy2"= vvlcodec.dll
"VIDC.ACDV"= ACDV.dll
"-"= msvideo8
"VIDC.YV12"= vvlcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"HPHUPD06"=c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Microsoft Games\\Age of Mythology\\aomx.exe"=
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];C:\WINDOWS\system32\drivers\Sleen16.sys [2007-10-11 12:24]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
S0 SMPLSCSI;SMPLSCSI;C:\WINDOWS\system32\drivers\SMPLSCSI.SYS [1997-11-15 16:58]
S2 ONSIO;ONSIO;C:\WINDOWS\SYSTEM32\DRIVERS\ONSIO.SYS []
S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2005-11-24 20:43]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebda43f4-cc5b-11dc-bb43-0011d83a85ae}]
\Shell\AutoRun\command - L:\LaunchU3.exe -a

*Newly Created Service* - catchme
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-06-20 19:01:07 C:\WINDOWS\Tasks\GlaryInitialize.job"
- C:\Program Files\Glary Utilities\initialize.exe
"2008-06-20 20:18:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 22:38:25
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

**************************************************************************
.
Temps d'accomplissement: 2008-06-20 22:41:06
ComboFix-quarantined-files.txt 2008-06-20 20:40:03
ComboFix2.txt 2008-06-20 19:59:34

Pre-Run: 81,636,249,600 octets libres
Post-Run: 81,624,031,232 octets libres

213 --- E O F --- 2008-06-20 10:39:53

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:11, on 20/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} - C:\PROGRA~1\ORANGE~1\TOOLBA~2.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange Toolbar FR\ToolbarContainer234.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Masquer les images - C:\WINDOWS\web\MaskImage.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: traduire la page - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cce33.html
O8 - Extra context menu item: traduire le texte sélectionné - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cce34.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\Poker.fr\client.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://jeuxenligne.orange.fr/GameShell/online/fr/luxor/mjolauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

sKe69 · Answer

1- refais un coup de Ccleaner ( registre compris ) 

2- Télécharges MSNFix.zip (de !aur3n7) :
http://sosvirus.changelog.fr/MSNFix.zip 
et décompresses-le sur le Bureau( = click droit/"extraire tout ..." sur le bureau )

Démarrer en mode sans echec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...) 

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R( recherche ).
- Si l'infection est détectée, exécute l'option N ( Nettoyage ).
- Sauvegardes le rapport généré sur ton bureau .
- Redémarres le PC puis postes moi ce rapport pour analyse ....

eldeis · Answer

J'ai redémarré mais le rootkit est toujours là!! il m'aime bien!! et le pc et le chargement des pages aussi! sa vient du rootkit ou y aurait il encore autre chose? heureusement que je suis pas seule, sinon...bref..
merci

MSNFix 1.725  
 
C:\Documents and Settings\HP_Propri&#8218;taire\Bureau\MSNFix\MSNFix 
Fix exécuté le 20/06/2008 - 23:07:00,68 By HP_Propri&#8218;taire 
mode sans échec           
    
************************ Recherche les fichiers présents      
    
... C:\Documents and Settings\HP_Propri&#8218;taire\??????.exe 
... C:\Documents and Settings\HP_Propri&#8218;taire\????????.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\Documents and Settings\HP_Propri&#8218;taire\??????.exe  
.. OK ... C:\Documents and Settings\HP_Propri&#8218;taire\????????.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 20062008_23102904.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe, 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

sKe69 · Answer

Bon ... continuons donc , on va s'acharné aussi :

Télécharges GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

!!Déconnectes toi et fermes tes application en cours !!

Dézippes (extraire tout) le dossier : double-clique sur GenProc.bat et laisses faire...
Postes le contenu du rapport qui s'ouvre . 

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html 
IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

sKe69 · Answer

Genproc merde ... pas bon signe ... :/

Lances Malwarebytes et met le bien à jours ! 

Puis redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les ojbets infectés soient validés, puis click sur " supression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la supression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ... Si c'est long , tu pourra profiter du soleil ... ;)

eldeis · Answer

ok, jusqu'à présent, je laissait le miroir d'origine soit: 
= 2 plombes et rien ( et ce, 3 fois déjà)

là, j'essai avec Malwarebyte's.org et si dans 10 min se passe rien, j'essaie avec le 3e miroir

et si ne se passe toujours rien ? je supprime malwarebyte's puis réinstalle puis re maj ??

c'est bizare car j'avais lancer tout les petits prog pour le trouvé (rootkit-gen) plus tous ce que nous avns fait et il est toujours là!
il est quand meme virulent suis là et en tous cas , il s'incruste.
Mais merci pour les conseils et le temps consacrés

eldeis · Answer

bon avec le 2e non plus j'essai avec le dernier!!

eldeis · Answer

et foncièrement ça fait quoi?? sa craint?? c'est pour sa que sa rame??
je sais, questions nulles mais au moins je saurais et n'aurais plus à demandé!

eldeis · Answer

bon j'ai désinstallé et je réinstalle mais cherche la maj avant meme ouverture je peux meme pas changé de miroir faut espérer que ça fonctionne cette fois!
sinon je fais quoi au cas ou ?

sKe69 · Answer

Tient moi au courant déjà pour Malewarebytes ...

eldeis · Answer

sa bloque sur la mise a jour, il ne se passe strictement rien, kedal.

sKe69 · Answer

Laisses tomber la mise à jour ...

Télécharge DiagHelp.zip sur ton bureau :

http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!  

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"  
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )
 
--> Une fenêtre va s'ouvrir, choisis l'option 1 
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera : 
une page IE va s'ouvrir , fermes la . 
Re-appuis sur une touche, le bloc-note s'ouvre : 
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...

sKe69 · Answer

Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

!!Déconnectes toi,fermes toute tes applications et désactives tes défences ( anti-virus ,anti-spyware,...) le temps de la manipe !!

Installes le soft à la racine de C\ ( et pas ailleur! --->"C\:SmitfraudFix.exe" ) : double clique sur l'.exe pour le décompresser et lancer le fix.
 
Utilisation ----> option 1 - Recherche : 
Double clique sur smitfraudfix.cmd Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
 
Postes le rapport ( rapport.txt qui se trouve sous C\: ) et attends la suite . 

(Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

sKe69 · Answer

Nada ...
procédons autrement ...

télécharges se petit soft , ZEB_RESTORE : 

http://telechargement.zebulon.fr/zeb-restore.html 

enregistre ce fichier sur le bureau. 

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 
- Coche les cases devant ( et uniquement celles-ci ) : 


* Policies : remet en place des éléments désactivés par "Policies" 
* Réparation IE : répare Internet Exploreur (pages de recherche) 
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares) 
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)   

-Clique sur Restaurer 

-Redémarre ton PC ... puis réessayes une mise à jours de Malwarebytes et dis moi ...

sKe69 · Answer

Télécharge clean.zip :
http://www.malekal.com/download/clean.zip 
Décompresses-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
Ouvres le dossier Clean qui se trouve sur ton bureau. 

Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître, suis les consignes.
Choisis l'option 1 et laisses faire ... 

Postes le rapport qui se trouve ici C:\rapport_clean.txt et attends la suite ...

sKe69 · Answer

bon, encore des saltés ...

Redémarres en mode sans échec : 
 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

Ouvres le dossier Clean qui se trouve sur ton bureau. 
Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître 
Passes à l'option 2, colles le rapport ici stp ...

Puis essayes de nouveau les mises à jours de Malware. pour voire ...

sKe69 · Answer

fait ce-ci : 

1-Crées un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes, 
- Ensuite dans Accessoires et enfin dans Outils système, 
- Choisir "Restauration du système", 
- Sélectionner "Créer un point de restauration", 
- Cliquer sur "Suivant", 
- Entrer un nom pour le point de restauration : ce nom doit être assez évocateur, 
- Cliquer sur "Créer" et le point de restauration se créé automatiquement.


2-Fermes toutes tes applications et déconnectes toi .

Lances hijackthis et click sur " Do a scan only "

Dans la fenêtre d'HijackThis, cliquez sur le bouton à droite Config 
Cliquez sur le bouton Misc Tools Button 
Cliquez sur le boutton open ADS Spy 
Dans la nouvelle fenêtre, cliquez sur le bouton Scan 
Si des fichiers ADS sont trouvés, ces derniers seront affichés dans la liste .
Pour supprimer un fichier, cochez le ou les fichiers puis cliquez sur le bouton Remove selected

Dis moi ce que cela a donné ...

eldeis · Answer

sa donne rien, il a rien trouvé!

sKe69 · Answer

bon ...

c'est surement ça en faite : 
http://www.commentcamarche.net/forum/affich 6757525 avast faux positif attention#1

Suit l'astuce proposer par le sioux et dis moi ...

sKe69 · Answer

Est-ce que ton alerte est exactement celle-ci :

--- Win32:Rootkit-gen[Rtk]" has been found in "C:\windows\system32\svchost.exe" file ---

Oui ou non ?

sKe69 · Answer

Suprimes le doc CFScript que tu as , en vas en fair un autre ...

1-Crée un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , click droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de crée : 

File:: 
C:\windows\system32\eyahxxzq.sys 

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :
!! Déconnectes toi,fermes toute tes application et désactive ton antivirus le temps de la manipe ( tu le réactiveras après )  !! 

--->Sur ton bureau, fais un glisser avec ta souris le fichier CFScript sur l'icone de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touche à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

eldeis · Answer

ben la pas eu de message quand s'est rallumé et les pages web s'ouvre normalement (vite) donc sans crier victoire trop vite je dirais en ne m'avançant pas trop qu'il à l'air de ne plus etre là!
merci beaucoup sans aide j'aurais fait une crise de nerf..
merci mais faut pas partir trop loin quand meme..
bonne soirée

sKe69 · Answer

1-refait un coup de CCleaner ( registre compris )

2-retentes une mise à jours Malwaresbytes .

3-Si cela ne marches toujours pas , redémarres ton PC et re-tentes .

4-Si cela marche : mets bien à jours malwarebytes , redemarres en mode sans échec et lances un scan complet ... suprimes bien tout ce qu'il peut trouver et postes moi le rapport ...

A demain pour la suite car la je doit m'absenté ...

A++

eldeis · Answer

Bonjour,désolée s'il semblait n'y avoir personne, vous avez pas fais gaffe, mais hier soir vers 18h vousdisait que je n'avait pas eu de message quand il s'est rallumé et les pages web s'ouvre normalement (vite) donc sans crier victoire trop vite je dirais en ne m'avançant pas trop qu'il à l'air de ne plus etre là! 
merci beaucoup sans aide j'aurais fait une crise de nerf.. 
merci mais faut pas partir trop loin quand meme..
Superbe fin de journée a vous

sKe69 · Answer

Salut,
Rien n'est sure pour le momment ^^ , Fait ce-ci maintenant que tout "semble" fonctionner :

Ouvres Malwarebytes et mets le à jour . 

Puis redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les ojbets infectés soient validés, puis click sur " supression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la supression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes)

sKe69 · Answer

Va dans paneau de configuration : click sur Pare-feu et dis moi quelle option est validé ...

eldeis · Answer

activé (recommandé)
et ne pas autorisé d'exceptions

eldeis · Answer

et puis j'ai perdu la configuration adsl ( je m'explique quand je veux cliquer sur l'icone de la box j'obtiens un message d'erreur me disant qu'il n'y a plus de configuration adsl un truc dans le genre et bon, c'est pas comme si je m'en servait tous les jours mais j'en ai quand meme besoin pour regler les niveaux de sécurité (nécessaire pour certains programme)
cmment je fais pour les retrouvé

sKe69 · Answer

et ne pas autorisé d'exceptions---> c'est la que vient le prb !!! ^^

Valides l'option "autorisé des exeptions" et reprends Malwarebytes ... cela devrai marcher !...

eldeis · Answer

j'ai décocher "ne pas autoriser d'exceptions" puis j'ai rajouter le programme aux exceptions mais toujours rien pour mise à jour

eldeis · Answer

toujours rien

sKe69 · Answer

il y a tu avoir un prb au téléchargement ... :/

1-remet le pare-feu ( décoche la case " ne pas autoriser ... " )

2- Suprimes proprement Malwarebytes : pour le désinstaler vas dans le dossier de Malware. et utilise "unins00.exe" et pas autre chose ! 

3- On va reprendre ... maintenant que le rootkit est au placard peut-être que cela marchera :

Télécharges MalwareByte's : 
http://www.malwarebytes.org/mbam.php
 
un tuto sympa : https://forum.pcastuces.com/sujet.asp?f=31&s=3 

Instales le ( choisis bien "francais" ; ne modifies pas les parramètres d'instale ) et mets le à jour . 

Puis redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les ojbets infectés soient validés, puis click sur " supression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la supression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes)  ...

eldeis · Answer

il veut toujours pas les maj

sKe69 · Answer

tant pis ,
 fais la manipe quand même pour voir et postes moi le rapport obtenu ....

eldeis · Answer

là je dois m'absenté mais des que je reviens je post 
merci

eldeis · Answer

bonjour,

en fait il est vrai que tout ne vas pas pour le mieux:

- les pages internet mettent des heures à se charger;
-  les pages internet se ferment inopinément (3 fois en 20 min hier)
- la protection résidente n'apparait plis dans la barre

bref , tout va bien

donc apparement ya plus le rootkit mais c pas nikel tous sa

que fais-je?? comme prévu hier (c'est à dire redémarrer mode sans echec et lancer malware + post rapport) ou autre chose!!
( 
Difficile de lutter contre des fantomes...

bonne journée

sKe69 · Answer

1- pour Avast , essaye ce-ci :

vas dans "C:\program files", puis recherche le dossier "alwil" (avast) .
Tu rentres dedans et recherche " ashDisp.exe " tu click dessus ---> l´icone d´avast devrait réaparaitre ...

2-refais malwarebytes comme je te l'ai demandé ...

eldeis · Answer

ok donc je risk de ne pas etre la pendant minimum 4 heures ( durée de la 1ère fois)
a bientot donc

eldeis · Answer

ok

eldeis · Answer

voila par contre lui ai dit de supprimé (cette fois et la fois dernière) se met en quarantaine. Je supprime de la quarantaine ( dans le cas présent et aussi en général) ou vaut il mieux les laissés..
merci

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 870

17:20:38 23/06/2008
mbam-log-6-23-2008 (17-20-38).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 305217
Temps écoulé: 4 hour(s), 10 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\HP_Propriétaire\Mes documents\EvID4226Patch.exe (Adware.Agent) -> Quarantined and deleted successfully.

sKe69 · Answer

Je supprime de la quarantaine ( dans le cas présent et aussi en général) ou vaut il mieux les laissés..  ---> tu peu supprimer ...

Télécharges OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Déconnectes toi et fermes toute tes applications en cours .
 
clic double sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 

C:\Documents and Settings\HP_Propriétaire\Mes documents\Correspondance personnelle\VACANCES\LOZERE 2006\Sports, prestataires Lozère 2006\Liste de prestataires\Sports et nature dans les Cévennes et Gorges du Tarn Vacances actives dans le Sud du Massif Central_fichiers\Thumbs.db

et colles-la dans le cadre de gauche de OTMoveIt2 : 
Paste standard List of Files/Folders to be moved.
 
cliques sur MoveIt! pour lancer la suppression. 
le résultat apparaîtra dans le cadre Results.
 
cliques sur Exit pour fermer. 
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles." 

il te sera peut-être demandé de redémarrer le pc pour achever la suppression. 
si c'est le cas acceptes par "Yes".

eldeis · Answer

File/Folder C:\Documents and Settings\HP_Propriétaire\Mes documents\Correspondance personnelle\VACANCES\LOZERE 2006\Sports, prestataires Lozère 2006\Liste de prestataires\Sports et nature dans les Cévennes et Gorges du Tarn Vacances actives dans le Sud du Massif Central_fichiers\Thumbs.db not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06232008_182912

sKe69 · Answer

bien ... rien ...

-Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :
https://www.bitdefender.fr/ 
(pour le rapport ,qui est un doc IE , clik sur l'onglet "plus de détailles" : et à la fin du scan tu demandes à le sauvegarder sur ton bureau) 

--->fais un copier/coller et postes le rapport dans ta prochaine réponse ... 

Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc.

eldeis · Answer

ouai mais jusqu'à il y a 3 mois ( et ce depuis 10ans) j'avais internet explorer mais quand j'ai voulu faire la mise à jour (IE7) j'ai plus pu accéder a ni l'une ni l'autre de version du coup j'ai opéra comme navigateur car meme orange (avec adsl depuis3mois donc) le navigateur orange bug une fois sur 2 la veux que je télécharge IE donc je vais voir si sa fonctionne dans un 1er temps

eldeis · Answer

j'ai télécharger le dernier IE puis c'est installé et j'ai redemarrer mais quand je veux faire le scan en ligne il me renvoie sur la mise a jour d'explorer..donc je fais quoi du coup??

eldeis · Answer

j'arrive pas a lance IE7, il se fige et fait tous planté

sKe69 · Answer

ta version de windows est légitime ?

eldeis · Answer

????
Si par légitime c'est d'origine, oui 
sinon je sais pas

sKe69 · Answer

Ok ... je n'arrive pas à voire ce qui m**de au niveau des maj ...

ré-essayes ce-ci svp :

Télécharges GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

!!Déconnectes toi et fermes tes application en cours !!

Dézippes (extraire tout) le dossier : double-clique sur GenProc.bat et laisses faire...
Postes le contenu du rapport qui s'ouvre . 

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html 
IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

eldeis · Answer

Rapport GenProc 1.972 [2] effectué le 23/06/2008 à 22:24:02,90 - Windows XP  

# Etape 1/ Télécharge :  
  
- MSNFix.zip (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau. 
 
 
***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "HP_Propriétaire") ***** 
 
 
# Etape 2/ 
 
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau. 
 
# Etape 3/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 4/ 

Redémarre normalement et poste, dans la même réponse : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ; 
- Le contenu du rapport MSNfix situé sur le Bureau ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

sKe69 · Answer

MSNfix on l'a déjà fait ... bizard  :-/

Suit la manipe proposée par Genproc et postes moi les rapport demander , ... on vera bien ....

eldeis · Answer

Bonjour, désolée d'avoir été aussi longue!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:45:17, on 24/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32undll32.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} - C:\PROGRA~1\ORANGE~1\TOOLBA~2.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange Toolbar FR\ToolbarContainer234.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - S-1-5-18 Startup: AutoTBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Masquer les images - C:\WINDOWS\web\MaskImage.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: traduire la page - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cceAE.html
O8 - Extra context menu item: traduire le texte sélectionné - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cceAF.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\Poker.fr\client.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://jeuxenligne.orange.fr/GameShell/online/fr/luxor/mjolauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

sKe69 · Answer

Comme je le pensais , MSNfix n'a rien trouver ...

1-Fermes toutes tes applications et déconnectes toi .

Relance Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas clické sur les carré des lignes suivantes : 

O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file) 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user') 
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user') 
O8 - Extra context menu item: Masquer les images - C:\WINDOWS\web\MaskImage.htm 
O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\Poker.fr\client.exe (file missing)
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

Tu cliques en bas sur le bouton FIX CHECKED et valides .

2-refais un copu de CCleaner ( registre compris ) 

3-un prb que je n'avais pas remarqué ^^ :
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 

C'est un service de FranceTelecom, bien inutile, qui malheureusement est à l'origine de plantage sur certaines machines ... (aucun probleme à l'enlever, tout fonctionnera parfaitement). Il collecte des infos sur ton PC. 
Ce service n est pas infectueux mais il peut entrainer des dysfonctionnements sur le systeme! Par ailleurs, il est installé sans le consentement de l utilisateur avec une update de wanadoo! 

Et pour exclure se service inutile FTRTSVC, il suffit de faire ainsi: 

Clic sur « Démarrer » => « Exécuter » ; ensuite, dans la lucarne de saisie, coller ce qui est en gras ci dessous : (recommencer pour chacune des trois commandes suivantes) : 

# 1- sc stop FTRTSVC --> valider par OK 
# 2- sc config FTRTSVC start= disabled --> valider par OK 
# 3- sc delete FTRTSVC --> valider par OK 


Quand tu auras fais ces dernieres manips', reposte moi un nouveau rapport hijackthis pour analyse ...

eldeis · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:45, on 24/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} - C:\PROGRA~1\ORANGE~1\TOOLBA~2.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange Toolbar FR\ToolbarContainer234.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - S-1-5-18 Startup: AutoTBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: traduire la page - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cceAE.html
O8 - Extra context menu item: traduire le texte sélectionné - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\cceAF.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://jeuxenligne.orange.fr/GameShell/online/fr/luxor/mjolauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

sKe69 · Answer

Bien , à tout hazard ;)  ... y a t'il du mieux ?

eldeis · Answer

ça a l'air d'aller (en tous cas pour les pages internet, elles se chargent correctement)
pour le reste j'imagine que j'irais de découvertes en découvertes

Tous va bien??

sKe69 · Answer

le reste j'imagine que j'irais de découvertes en découvertes  ---> j'espère pas !  =)

Tous va bien?? ---> sur le coup , c'est à toi de me le dire ... As tu retenté une mise à jour de Malwarebytes ? Sinon fais le pour voire ...

eldeis · Answer

je n'arrive pas a suivre les liens depuis la messagerie

sKe69 · Answer

je n'arrive pas a suivre les liens depuis la messagerie ---> précise ... quelle messagerie tu utilises ? ...

eldeis · Answer

outlook express (mais jusqu'à ya 5 jours a peu près j'avais la version d'évaluation office 2007.
Depuis j'ai pas converti donc je réutilise outllok express et depuis je peux pas suivre les liens
et quand je surf (alors que la messagerie est fermée et au pire en travail hors connection) en bas de la barre me dit scan de message sortant ... alors que j'envoie rien...

sKe69 · Answer

Bien , ... en gros : 
Liens brisés sur messages reçus sur outlook , incrédimail, etc qui ne répondent plus avec un ralentissement du pc ,
suis exactement le protocole de cette page ( merci à Dionisos ;) ) :

http://denis.lasperches.free.fr/outils/pages/repareoe.htm

Dis moi ce que cela donne ...

eldeis · Answer

ok
a dans 4 h alors
( mise à jour faites en 3 secodes - merci)

eldeis · Answer

me suis trompée de mess je croyai devoir refaire malware 
remis a jour en 3 secondes
merci

Problème récurent rootkit-gen

80 réponses

Votre réponse

Discussions similaires

Newsletters