ashavast.exe Fermé

Question

Bonjour,
Depuis hier moi , j'ai des soucis , mon ordi est devenu de plus en plus lent à tel point ke j'ai dû l'éteindre tellement ça me gonflait plus de 5 mn pour ouvrir un truc. bref mon icone avast avait disparu et quand j'essaye de lancer avast il me met "un fichier a besoin de votre autorisation pour continuer" il s'agit de ashavast.exe alors kil ne m'avait jamais demandé ça avant. 
aujourd'hui je rallume et plus rien tout est normal, mon icone est revenue mais quand je veux démarrer avast il me met toujours le meme message, est ce bien un virus ???

totobetourne · Answer

bonjour. il faut voir pour mieux savoir.

1)pour vista si infection.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

http://www.laboratoire-microsoft.org/tips-23933-desactiver-uac-vista.html 



2)telecharge cela:util pour voir ce que peut etre l infection et agir ensuite.

http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

installe le normallement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
a ce moment relance hijack avec un clique droit sur le raccourci et executer en tant qu administrateur.

mailouco · Answer

coucou voilà mon rapport :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:10, on 13/09/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\vVX1000.exe
C:\Windows\System32\wpcumi.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Podmailing\podmailing.exe
C:\Users\Le Régent\AppData\Local\Votre Opinion\PanelApp\PanelApp.exe
C:\Program Files\Pando Networks\Pando\pando.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\wuauclt.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\sdclt.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Bho Class - {AB37CD3D-DC1D-46b2-ADCA-3CDC80FD2AD6} - C:\Users\Le Régent\AppData\Local\Votre Opinion\PanelApp\PanelApp_0806.2008.0725.1159.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PCMService] "C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe"
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exe
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Podmailing] C:\Program Files\Podmailing\Podmailing.exe start-minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PanelApp] C:\Users\Le Régent\AppData\Local\Votre Opinion\PanelApp\PanelApp.exe
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - (no file)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - (no file)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix: 
O15 - Trusted Zone: https://www.01net.com/
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/fr-fr/wlscctrl2.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mai-lou-co.spaces.live.com/PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PanelSvc - Unknown owner - C:\Program Files\Votre Opinion\PanelApp\PanelSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

totobetourne · Answer

il y a 2 fichiers etrange car pas connu.



Ensuite,
*Rends toi sur ce site :

https://www.virustotal.com/gui/

*Clique sur "Parcourir" et cherche ces 2 fichiers(un seul a la fois) :   

 C:\Program Files\Podmailing\podmailing.exe    
 C:\Users\Le Régent\AppData\Local\Votre Opinion\PanelApp\PanelApp.exe

*Un rapport va s'élaborer ligne à ligne.
*Attends la fin. Il doit comprendre la taille du fichier envoyé.
*Sauvegarde le rapport avec le bloc-note.
*Copie le dans ta réponse.
*Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Reanalyse" le fichier maintena

mailouco · Answer

pour le premier fichier :

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.9.13.0 2008.09.12 - 
AntiVir 7.8.1.28 2008.09.12 - 
Authentium 5.1.0.4 2008.09.13 - 
Avast 4.8.1195.0 2008.09.13 - 
AVG 8.0.0.161 2008.09.13 - 
BitDefender 7.2 2008.09.14 - 
CAT-QuickHeal 9.50 2008.09.13 - 
ClamAV 0.93.1 2008.09.14 - 
DrWeb 4.44.0.09170 2008.09.14 - 
eSafe 7.0.17.0 2008.09.11 - 
eTrust-Vet 31.6.6087 2008.09.12 - 
Ewido 4.0 2008.09.14 - 
F-Prot 4.4.4.56 2008.09.14 - 
F-Secure 8.0.14332.0 2008.09.14 - 
Fortinet 3.113.0.0 2008.09.14 - 
GData 19 2008.09.14 - 
Ikarus T3.1.1.34.0 2008.09.14 - 
K7AntiVirus 7.10.454 2008.09.13 - 
Kaspersky 7.0.0.125 2008.09.14 - 
McAfee 5383 2008.09.12 - 
Microsoft 1.3903 2008.09.14 - 
NOD32v2 3440 2008.09.13 - 
Norman 5.80.02 2008.09.12 - 
Panda 9.0.0.4 2008.09.13 - 
PCTools 4.4.2.0 2008.09.13 - 
Prevx1 V2 2008.09.14 Suspicious 
Rising 20.61.42.00 2008.09.12 - 
Sophos 4.33.0 2008.09.14 - 
Sunbelt 3.1.1633.1 2008.09.13 - 
Symantec 10 2008.09.14 - 
TheHacker 6.3.0.9.082 2008.09.14 - 
TrendMicro 8.700.0.1004 2008.09.12 - 
VBA32 3.12.8.5 2008.09.13 - 
ViRobot 2008.9.12.1375 2008.09.12 - 
VirusBuster 4.5.11.0 2008.09.14 - 
Webwasher-Gateway 6.6.2 2008.09.14 - 
Information additionnelle 
File size: 173056 bytes 
MD5...: 7817f15a9b796915521016939c432179 
SHA1..: 0a715eacaec757cd8c33235d720da875fc3956e5 
SHA256: 68121f0212d73f9754a029c770a00f2f7ce591ff28182268fd6110312183db71 
SHA512: b8f6ed53774682c8665375d80ffa3c0cf3427e3a2eeb703678488a7c7f51723d
16410ac64e0a23d8708dcf20ee3af5e2ee12531c082fecf5bb2e45cf2c617e6a 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40285a
timedatestamp.....: 0x4595038e (Fri Dec 29 12:01:18 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ba2 0x1c00 6.23 af1e5fd1d4c2183ac891efa803b9cca5
.rdata 0x3000 0x6f6 0x800 4.42 0bc54cbd28b49931942782e80f4ef6d3
.data 0x4000 0x131c 0xc00 4.51 d4e42da30ce1efa944c65ed490c0541b
.rsrc 0x6000 0x26f04 0x27000 5.54 d743199a6e29c9f17624ecda26bfe0cf

( 3 imports ) 
> USER32.dll: GetFocus, MessageBoxA
> MSVCR71.dll: _adjust_fdiv, __p__commode, __p__fmode, __setusermatherr, _except_handler3, _strdup, __dllonexit, _onexit, _controlfp, _initterm, __getmainargs, _amsg_exit, _acmdln, exit, _cexit, _ismbblead, _XcptFilter, _exit, _c_exit, realloc, bsearch, qsort, fprintf, _iob, setbuf, getenv, atoi, malloc, free, strncmp, strrchr, __p___argv, __p___argc, strncpy, _snprintf, _stricmp, __set_app_type
> KERNEL32.dll: GetStartupInfoA, IsBadReadPtr, SetLastError, GetProcessHeap, HeapFree, VirtualFree, VirtualProtect, VirtualAlloc, FreeLibrary, GetModuleHandleA, LoadLibraryA, GetProcAddress, OutputDebugStringA, GetFullPathNameA, UnmapViewOfFile, CreateFileA, GetFileSize, CreateFileMappingA, CloseHandle, MapViewOfFile, FindResourceA, LoadResource, LockResource, GetModuleFileNameA, GetLastError, FormatMessageA, LocalFree, lstrlenA, HeapAlloc

( 0 exports ) 
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=055203B200E6BFC5A478027726574C00B20E7802 
packers (Kaspersky): Py2Exe 



Pour le deuxième :
Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.9.13.0 2008.09.12 - 
AntiVir 7.8.1.28 2008.09.12 - 
Authentium 5.1.0.4 2008.09.13 - 
Avast 4.8.1195.0 2008.09.13 - 
AVG 8.0.0.161 2008.09.13 - 
BitDefender 7.2 2008.09.14 - 
CAT-QuickHeal 9.50 2008.09.13 - 
ClamAV 0.93.1 2008.09.14 - 
DrWeb 4.44.0.09170 2008.09.14 - 
eSafe 7.0.17.0 2008.09.11 - 
eTrust-Vet 31.6.6087 2008.09.12 - 
Ewido 4.0 2008.09.14 - 
F-Prot 4.4.4.56 2008.09.14 - 
F-Secure 8.0.14332.0 2008.09.14 - 
Fortinet 3.113.0.0 2008.09.14 - 
GData 19 2008.09.14 - 
Ikarus T3.1.1.34.0 2008.09.14 - 
K7AntiVirus 7.10.454 2008.09.13 - 
Kaspersky 7.0.0.125 2008.09.14 - 
McAfee 5383 2008.09.12 - 
Microsoft 1.3903 2008.09.14 - 
NOD32v2 3440 2008.09.13 - 
Norman 5.80.02 2008.09.12 - 
Panda 9.0.0.4 2008.09.13 - 
PCTools 4.4.2.0 2008.09.13 - 
Prevx1 V2 2008.09.14 Fraudulent Security Program 
Rising 20.61.42.00 2008.09.12 - 
Sophos 4.33.0 2008.09.14 - 
Sunbelt 3.1.1633.1 2008.09.13 - 
Symantec 10 2008.09.14 - 
TheHacker 6.3.0.9.082 2008.09.14 - 
TrendMicro 8.700.0.1004 2008.09.12 - 
VBA32 3.12.8.5 2008.09.13 - 
ViRobot 2008.9.12.1375 2008.09.12 - 
VirusBuster 4.5.11.0 2008.09.14 - 
Webwasher-Gateway 6.6.2 2008.09.14 - 
Information additionnelle 
File size: 31232 bytes 
MD5...: 50c5fd4a7be34e0c8a5c05517c341b5a 
SHA1..: c60a488675fb602b4aa4cf10325593e269c54be9 
SHA256: f084fb96cfe33275c13d9ef849d8df4f04857ae15563e2b6df8abfd01bff8add 
SHA512: 204313b1ca57fd83016ec432ae6aaac494c05a8b776de84257fe25a545be91be
206f66538c44d8b8a206a68c6bb21b18624daed25507f3e6c1ca2b292542ad98 
PEiD..: - 
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40137e
timedatestamp.....: 0x455b78e4 (Wed Nov 15 20:30:28 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x509a 0x5200 6.60 02f7bcd543134a05c0b9a406dda02f49
.rdata 0x7000 0x1904 0x1a00 4.83 9180a790072c0f462586eb4b03f5ad65
.data 0x9000 0x11bc 0xa00 2.25 bdbfcb03de33a38545af884dd9bbe32a

( 1 imports ) 
> KERNEL32.dll: LoadLibraryW, GetProcAddress, FreeLibrary, InitializeCriticalSection, DeleteCriticalSection, GetLocaleInfoA, GetACP, InterlockedExchange, GetSystemInfo, GetVersionExA, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, ExitProcess, HeapReAlloc, HeapAlloc, TerminateProcess, GetCurrentProcess, HeapSize, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, TlsAlloc, SetLastError, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, RtlUnwind, VirtualQuery, LoadLibraryA, GetOEMCP, GetCPInfo, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, VirtualProtect

( 0 exports ) 
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4EE1F4A100D114C57A620097466ABB00FC71F994 


Ce fichier je l'avais analysé avec spybot et il m'avait rien trouvé

mailouco · Answer

Bizarre, aujourd'hui, j'essaye de démarrer avast et il ne me demande plus rien alors qu'hier il me demandait le fichier "ashAvast.exe" a besoin de votre autorisation pour continuer ?????????????

liet · Answer

Ashavast.exe est le programme qui met la boule à côté de l' horloge , la surveillance d' avast ne peut se faire sur vista que si le programme a les droits maximums pour s' exécuter ( administrateur).
Si tu a désactivé l' uac pendant la désinfection, les programmes ( dont avast) ne sont plus bridés et ont ces droits.

Si tu réactive l' uac à la fin de la désinfection, avast doit à nouveau s' exécuter avec tous les droits sinon tu as ce message et avast ne démarre pas, la boule n' apparait pas.

totobetourne · Answer

a chaque fois  un seul les reconnait comme etrange sur les 32.mais ils me paraissent tout de meme etrange ces 2 fichiers.

Telecharges malwares bytes anti malwares :

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm 
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.


ce que liet a ecrit est vrai et c est cela qui doit faire que que avast ne s execute pas normallement
lorsque tu reactiveras l uac cela devrait revenir et a ce moment il faudra executer automatiquement le programme(ashavast.exe) avec les droits d administrateurs, tu dois regler cela en faisant un clic droit sur le fichier et modifier les parametres lors de la lecture et lui donner des droits d administrateurs.

mailouco · Answer

j'ai téléchargé malwarebytes' mais expliques moi comment le faire en mode sans echec, merci (je suis nulle en informatique)

totobetourne · Answer

avant de passer en mode sans echec fait bien la mise a jour en mode normal.

redemarre ton ordi lorsque tu vois le debut du demarrage appuie sur f5 ou f8 et apres attend un peu et tu recevras les indications.

mailouco · Answer

Samedi, j'avais déjà fait un scanner avec malwarebytes' il m'a trouvé des infections :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1144
Windows 6.0.6001 Service Pack 1

13/09/2008 17:14:18
mbam-log-2008-09-13 (17-14-18).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 124346
Temps écoulé: 1 hour(s), 38 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Windows\System32\ActiveToolBand.dll (Adware.BHO) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Le Régent\Local Settings\Application Data\wemwdl_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Le Régent\Local Settings\Application Data\wemwdl_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Le Régent\Local Settings\Application Data\wemwdl.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Windows\System32\ActiveToolBand.dll (Adware.BHO) -> Quarantined and deleted successfully.

Hier soir j'ai lancé avast puisque celui ci refonctionne (bizarrement) et il m'a trouvé un virus : un win32:InMorph[cryp] dans un dossier (zyoaqv.exe) qui avait déjà été infecté par le mm virus il y a quelque mois.

puis, j'ai refait un scan avec malwarebytes' en mode sans echec comme tu me l'as dit mais il n'a rien trouvé.

Qu'est ce que tu en penses, moi, perso je trouve ça bizarre cette histoire d'ordi qui déconne avast qui disparait puis réapparait... et là impec !!!!!

mailouco · Answer

Je viens de faire une analyse avec le scanner en ligne de bitdefender et "aucun virus trouvé"
tant mieux mais cè tout de mm bizarre cette histoire

totobetourne · Answer

malware t a trouve quelquechose entre pour verifier qu il a bien tout enleve on va essayer cet outil qui est plus specifique sur les infections navipromo.


tu télécharge navilog1
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

mailouco · Answer

voilà le résultat du scan :

Search Navipromo version 3.6.5 commencé le 16/09/2008 à 10:40:23,44

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Le Régent" 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001 
Internet Explorer : 7.0.6001.18000 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\lergen~1\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\Le R‚gent\AppData\Local\virtualstore\Program Files" ***

...\InternetGameBox trouvé !

*** Recherche dossiers dans "C:\Users\Le R‚gent\AppData\Roaming" ***


*** Recherche dossiers dans "C:\Users\MAWENN~1\appdataoaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Le R‚gent\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Le R‚gent\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\Le R‚gent\AppData\Local" *

* Recherche dans "C:\Users\MAWENN~1\AppData\Local" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Le R‚gent\AppData\Local\Microsoft" :


* Dans "C:\Users\Le R‚gent\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users\Le R‚gent\AppData\Local" :


* Dans "C:\Users\MAWENN~1\AppData\Local" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 16/09/2008 à 11:14:16,95 ***

totobetourne · Answer

Salut,

Arriver au menu principal, choisir l'option 2 et valider (nettoyage "automatique" ).

Le fix demandera ensuite de "redémarrer le PC", fermer toutes les fenêtres ouvertes
et appuyer sur une touche comme demandé.(si le PC ne redémarre pas automatiquement, le faire manuellement)
Au redémarrage du PC, choisir la session habituelle si nécessaire.

Patienter jusqu'au message : "Nettoyage Terminé le ..."

Le bureau revient, puis le bloc-note s'ouvre .
Sauvegarder ce rapport de manière à le retrouver, puis fermer le bloc-note ...
(Le rapport sera en outre sauvegardé à la racine du disque "C\:cleannavi.txt")

Postes ce rapport dans ta nouvelle réponse pour analyse et attends la suite ...

(PS : Si le bureau ne réapparaît pas, faire CTRL+ALT+SUPPR pour ouvrir le gestionnaire de tâches.
Choisir l'onglet processus. Cliquer en haut à gauche sur fichiers et choisir exécuter,
Taper explorer et valider.)

mailouco · Answer

Problème : j'ouvre Navilog1 puis je tape F mais ça disparait j'ai rééssayé 2 fois mais... il disparait

mailouco · Answer

ça y est cè fait, en fait il fallait désactiver les comptes utilisateurs 

voici mon rapport :

Clean Navipromo version 3.6.5 commencé le 17/09/2008 à 11:05:53,68

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Le Régent" 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001 
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *


* Suppression dans "C:\Users\Le R‚gent\AppData\Local\Microsoft" *


* Suppression dans "C:\Users\Le R‚gent\AppData\Local\virtualstore\windows\system32" *


* Suppression dans "C:\Users\Le R‚gent\AppData\Local" *


* Suppression dans "C:\Users\MAWENN~1\AppData\Local" *



*** Suppression dossiers dans "C:\Windows" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Suppression dossiers dans "C:\ProgramData" ***


*** Suppression dossiers dans c:\users\lergen~1\appdataoaming\micros~1\windows\startm~1\programs ***


*** Suppression dossiers dans "C:\Users\MAWENN~1\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "C:\Users\Le R‚gent\AppData\Local\virtualstore\Program Files" ***

...\InternetGamebox ...suppression... 
...\InternetGamebox supprimé ! 


*** Suppression dossiers dans "C:\Users\Le R‚gent\AppData\Roaming" ***


*** Suppression dossiers dans "C:\Users\MAWENN~1\appdataoaming" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\LERGEN~1\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\Windows\system32" *


* Dans "C:\Users\Le R‚gent\AppData\Local\Microsoft" *


* Dans "C:\Users\Le R‚gent\AppData\Local\virtualstore\windows\system32" *


* Dans "C:\Users\Le R‚gent\AppData\Local" *


* Dans "C:\Users\MAWENN~1\AppData\Local" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !


*** Nettoyage terminé le 17/09/2008 à 11:12:39,99 ***

totobetourne · Answer

bonjour excuse moi cela fait longtemps, navilog a enlever le reste de l infection navipromo.

stp refais moi un hijack je vais voir ou tu en es.

mailouco · Answer

salut, pas de problème !!!

voilà mon rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:43, on 19/09/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\vVX1000.exe
C:\Windows\System32\wpcumi.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Pando Networks\Pando\pando.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Beta - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Windows Live Toolbar Beta - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PCMService] "C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe"
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exe
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix: 
O15 - Trusted Zone: https://www.01net.com/
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/fr-fr/wlscctrl2.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mai-lou-co.spaces.live.com/PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

totobetourne · Answer

depuis le premier hijack tu as une nouvelle infection , il faut arreter de cliquer sur n importe quoi ou bien de laisser l ordi a n importe qui car la avast n a rien repere.

1)refais malwarebyte, avec mise a jour , scan complet en mode sans echec et apres colle le rapport.il devrait te retrouver encore quelquechose.


2) refais un hijack et colle le rapport.

3)apres on enlevera les lignes inutiles.

4)on augmentera tes defences avec du leger car j ai l impression que ton ordi n est pas tout neuf(dis moi ce qu il en est) ou plutot est maintenant bien depasse en vitesse et ram et le reste donc il ne faut pas trop le surcharger car il va ramer sec.

mailouco · Answer

Ben dis donc merci !!!!!!!!!!

malwarebytes' n'a rien détecté du tout :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1179
Windows 6.0.6001 Service Pack 1

20/09/2008 10:06:01
mbam-log-2008-09-20 (10-06-01).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 119986
Temps écoulé: 27 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

totobetourne · Answer

bon on va en essayer un autre.

Télécharge ToolBar-S&D ( Merci à Eric_71, Angeldark, Sham_Rock et XmichouX )
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Double-clique sur ToolBar-SD afin de lancer l'installation, un raccourci sera ajouté sur le Bureau.
* Double-clique dessus pour démarrer l'outil; choisis la langue.
* Sous Vista, faire un clic droit et "Exécuter en tant qu'administrateur" (Elévation des privilèges), puis -> Continuer.
* Tape 2 puis sur la touche [Entrée] afin de lancer la suppression.
* Patiente jusqu'à la fin de la recherche.
* À la fin du scan, le rapport s'ouvrira dans le Bloc-notes.
* Poste ce rapport, par copier/coller, dans ta prochaine réponse.
* Le rapport se trouve également sous : C:\TB.txt

mailouco · Answer

voilà mon rapport :


   -----------\  ToolBar S&D 1.2.0   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Basique  ( v6.0.6001 ) Service Pack 1
   X86-based PC ( Multiprocessor Free : Intel(R) Celeron(R) CPU          420  @ 1.60GHz )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Le Régent ( Not Administrator ! )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1229 [VPS 080921-0] 4.8.1229 (Activated)
   C:\ (Local Disk) - NTFS - Total : 69 Go Free : 20 Go
   D:\ (Local Disk) - NTFS - Total : 69 Go Free : 39 Go
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
   K:\ (Local Disk) - NTFS - Total : 465 Go Free : 399 Go

   "C:\ToolBar SD" ( MAJ : 14-09-2008|23:30 )
   Option : [2] ( 22/09/2008|13:23 )

   [ UAC => 0 ]

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Local Page"="C:\Windows\system32\blank.htm"
   "SearchMigratedDefaultURL"="https://search.yahoo.com/web{searchTerms}&ei=utf-8&fr=b1ie7"
   "Default_Page_URL"="https://www.01net.com/telecharger/"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !

   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 22/09/2008|13:24 - Option : [2]

   -----------\  Fin du rapport a 13:24:44,39

mailouco · Answer

youhou ???? ya quelqu'un ????