Spyware XLG PRIVACY CONTROL CENTER ...help !

Question

Bonjour à tous ,

Je suis infecté par le Spyware : XLG PRIVACY CONTROL CENTER

J'arrive parfois a éradiquer certains  spywares,  mais celui là est trop fort pour moi

Là ou je suis dépassé c'est que meme en Mode sans echec, il est là !!! Il apparait juste avant l'affichage des icones du Bureau . 

Voici ce que j'ai fait jusqu'a présent ..:

J'ai supprimer la restauration systeme .
J'ai verifié que le pare feu Windows est bien fermé
J'ai redémarré en Mode sans echec .. Il etait là .. Je l'ai viré provisoirement avec le gestionnaire de taches en arretant le programme.

Puis j'ai passé les anti-spywares suivants :

ANTIVIR :  Il a trouvé des trucs mis en quarantaine... mais ça n'a rien fait 

SDFIX = Ca n'a rien fait

AD AWARE 2008 : il a trouvé des trucs mis en quarantaine mais le bazar est toujours là

SPYBOT = ca n'a rien fait

SUPER ANTI SPYWARE : Ca n'a rien fait

CC CLEANER : Ca n'a rien fait ..



Je sais plus quoi faire ..

Quelqu'un peut il m'aider a le virer ..

Ce qui me fout la trouille c'est que je le retrouve en Mode sans echec .. Je me demande ou il a été se nicher ?? Dans le boot ? 

Ca fait plus d'une semaine que je traine ça ...Aidez moi SVP ce serait sympa de votre part :hello:

totobetourne · Answer

bonjour

fait cela
telecharge cela:util pour voir ce que peut etre l infection et agir ensuite.

http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

installe le normallement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
a ce moment relance hijack avec un clique droit sur le raccourci et executer en tant qu administrateur.

ALAINREDON · Answer

OK J'ai deja ce programme .. je vais lealancer .. MiAis faut il d'abord etre en mode sans echec ou en mode normal ??

totobetourne · Answer

mode normal.

ALAINREDON · Answer

Rapoort Hitjackthis .30/11 17h35

-------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:49, on 2008-10-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
D:\Programmes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\wingrd\wintipgrd.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: (no name) - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - (no file)
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wintipgrd.exe] C:\Program Files\wingrd\wintipgrd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin
pjpi160_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin
pjpi160_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

totobetourne · Answer

1)tu as 2 antivirus , il faut enlever norton.
utilise ce lien pour enlever norton.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924?Open&src=&docid=20040413131641928&nsf=SUPPORT%5CINTER%5Cnisintl.nsf&view=833aab0c51f1b15a88256da6006a0505&dtype=&prod=&ver=&osv=&osv_lvl=



2)passe cet antimalware.
Telecharges malwares bytes anti malwares : egalement tres util sur pb de pub mais pas tous malheureusement

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm 
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

ALAINREDON · Answer

Heu .. ? Enlever Norton ?? ? Tu crois .,, Y a longtemps que j'ai paumé  le programme de base , juste des réabonnements tous les ans .. Je vais pouvoir le remettre apres ?? 
S'il faut enlever un antivirus , parce 2 c'est trop ,  peut etre que ca serairt plus facile d'enlever ANTIVIR ?

Enfin , c'est toi qui voit .. Dis moi quoi faire ..

totobetourne · Answer

regle un seul antivirus et un seul pare feu d actif sur un pc.


tu payes pour norton?


antivir est bien plus performant que norton sous n importe quelle version.

ALAINREDON · Answer

C'est vrai que Norton raménes pas grand chose quand il tourne .. mais bon .. ( Oui,  je paie environ 35 Eur par an )
Si je l'enleve j'aurais du mal a le remettre .Je le garde par sécurité . 
Je vais virer Antivir car facile a enlever et a remettre .
Comme parefeu je n'ai que celui de XP2 , je n'ai pas Zone Alarm . Je vais peut etre le mettre bientot 
A +

totobetourne · Answer

le probleme est qu avec norton tu es tres mal protege mais en tout cas ne garde qu un seul antivirus.

passe malwarebyte comme indique.

ALAINREDON · Answer

OK , J'ai édité le tutoriel , et je passerai le scan demain matin .
Pour Norton tu as surement raison
Des que cette histoires era réglée je vais remettre Antivir et san doute desactiver Norton 

A demain

ALAINREDON · Answer

Salut ..

Voila le rapport de Malewarebyte.
Comme tu m'as rien dit de special, je n'ai pas demandé de suppression . mais au vu du rapport ça a l'air d'etre necessaire . J'attends que tu me donnes le feu vert ..A+++


----------------------------------------------------------------------------------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.30
Database version: 1343
Windows 5.1.2600 Service Pack 2

31/10/2008 08:23:43
mbam-log-2008-10-31 (08-23-05).txt

Scan type: Full Scan (C:\|)
Objects scanned: 92710
Time elapsed: 40 minute(s), 18 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0} (Adware.Minibug) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhcevaj0en85 (Rogue.AntivirusXP2008) -> No action taken.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\faxwin32.bin (Malware.Trace) -> No action taken.

totobetourne · Answer

supprime le tout montre moi le rapport avec le tout supprime.

apres refais un hijack et colle le rapport. merci.

ALAINREDON · Answer

Bon ..Voila les rapports , mais le malware est toujours là ...

----------------------------------------------------------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.30
Database version: 1343
Windows 5.1.2600 Service Pack 2

31/10/2008 10:14:21
mbam-log-2008-10-31 (10-14-21).txt

Scan type: Full Scan (C:\|)
Objects scanned: 92838
Time elapsed: 40 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionhcevaj0en85 (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\faxwin32.bin (Malware.Trace) -> Quarantined and deleted successfully.



-----------------------------------------------------------------------------------------------------------------------------------------------------

Rapport HITJACKTHIS .............



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:10, on 31/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: (no name) - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - (no file)
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin
pjpi160_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin
pjpi160_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

totobetourne · Answer

passe maintenant cet outil.

pour voir télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ALAINREDON · Answer

3 questions :

 1 Comment se deconnecter d'Internet .. 

 2 faut il etre en Mode sans echec pour processer Combofix ?

 3- Si combofix me propose de corriger  que fais je ? je t'envoie el rapport d'abord ? 

merci

totobetourne · Answer

tu l arretes internet explorer.ou tu vas dans le panneau de configuration , connection a un reseau et tu l arretes.

combo fix en mode normal , il enleve de lui meme les saletes.

ALAINREDON · Answer

C'est bien ce que j'ai essayé de faire .. masi Internet Explorer me répond : 

Il n'est pas possible d'effectuer une deconnexion actuellement . Cette commande est occupée par une oprération de connexion/deconnexion 

Or je vois ce qui est ouvert ?? A mon avis : Rien

totobetourne · Answer

redemarre l ordi ou arrete le processus.

ALAINREDON · Answer

Ca ne marche pas .. 
quand j'arrete l'ordi et que je le redémarre, Internet se connecte automatiquementa l'ouverture du Bureau  et impossible de le deconnecter .
J'ai peut etre dit quelque part : connecter automatiquement  a l'ouverture de Windows, mais je n'ai pas retrouvé. 
c'est important de garder Internet connecté ??

ALAINREDON · Answer

Remarque , en cas d'impossibilté , je peux toujours le deconnecte rphysiquement , non ? 
En debranchant la Livebox et la debranchant de la prise telephonique , avant de redémarrer le systéme ??

totobetourne · Answer

voila c est cela.

ALAINREDON · Answer

rapport Combofix :

-----------------------------------------------------------------------------------------------------------------------------------------------------

ComboFix 08-10-30.12 - Propriétaire 2008-10-31 14:35:47.2 - [color=red][b]FAT32[/b][/color]x86
Lancé depuis: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Documents and Settings\Propriétaire\Application Data\rhcevaj0en85
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\PlayMP3z
C:\Documents and Settings\Propriétaire\Mes documents\My Documents.url
C:\Program Files\Applications\myd.ico
C:\Program Files\Applications\mym.ico
C:\Program Files\Applications\myp.ico
C:\Program Files\Applications\myv.ico
C:\Program Files\Applications\ot.ico
C:\Program Files\Applications\ts.ico
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\aofxkjau.ini
C:\WINDOWS\system32\drivers\4_stars.gif
C:\WINDOWS\system32\drivers\5_stars.gif
C:\WINDOWS\system32\drivers\alert_icon.gif
C:\WINDOWS\system32\drivers\arrow.gif
C:\WINDOWS\system32\drivers\buy_btn.gif
C:\WINDOWS\system32\drivers\close_icon.gif
C:\WINDOWS\system32\drivers\detect.htm
C:\WINDOWS\system32\drivers\download_btn.gif
C:\WINDOWS\system32\drivers\features.gif
C:\WINDOWS\system32\drivers\header_bg.gif
C:\WINDOWS\system32\drivers\icon_warning.gif
C:\WINDOWS\system32\drivers\logo_bg.gif
C:\WINDOWS\system32\drivers\perfect_cleaner_box.jpg
C:\WINDOWS\system32\drivers\perfect_cleaner_box_small.jpg
C:\WINDOWS\system32\drivers\perfect_cleaner_header.gif
C:\WINDOWS\system32\drivers\perfect_cleaner_header_small.gif
C:\WINDOWS\system32\drivers\protect.gif
C:\WINDOWS\system32\drivers\pt.htm
C:\WINDOWS\system32\drivers\s_detect.htm
C:\WINDOWS\system32\drivers\secuity_center_logo.gif
C:\WINDOWS\system32\drivers\spy_away_box.jpg
C:\WINDOWS\system32\drivers\spy_away_box_small.jpg
C:\WINDOWS\system32\drivers\spy_away_header.gif
C:\WINDOWS\system32\drivers\spy_away_header_small.gif
C:\WINDOWS\system32\drivers\users_rating.gif
C:\WINDOWS\system32\drivers\v.gif
C:\WINDOWS\system32\drivers\x.gif
C:\WINDOWS\system32\FLkQBcdd.ini
C:\WINDOWS\system32\FLkQBcdd.ini2
C:\WINDOWS\system32\gtv_sd.bin
C:\WINDOWS\system32\jofstvyt.sbin
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\stfv.bin
C:\WINDOWS\system32\sznf.ascii

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-31 ))))))))))))))))))))))))))))))))))))
.

2008-10-31 08:23 . 2008-10-31 08:23 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-10-31 07:34 . 2008-10-31 07:34 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-30 19:44 . 2008-10-30 19:44 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-30 19:44 . 2008-10-30 19:44 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-10-30 19:44 . 2008-10-30 19:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-30 19:44 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-30 19:44 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-29 18:49 . 2008-10-29 08:37 7,666,579 --a------ C:\Nun_komm,_der_Heiden_Heiland,_BWV_659_-_Transcribed_for_piano_Ferruccio_Busoni.wma
2008-10-27 19:41 . 2008-10-27 19:41 <REP> d-------- C:\Program Files\Lavasoft
2008-10-26 03:37 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-10-25 17:07 . 2008-10-25 17:07 <REP> d-------- C:\VundoFix Backups
2008-10-25 16:14 . 2008-10-25 16:14 <REP> d-------- C:\Program Files\MSNFix
2008-10-25 16:04 . 2008-10-25 16:04 <REP> d-------- C:\ToolBar SD
2008-10-25 16:01 . 2008-10-25 16:01 <REP> d-------- C:\Program Files\Navilog1
2008-10-24 19:39 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-10-24 19:39 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-10-24 19:39 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-10-24 19:39 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-10-24 19:39 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-10-24 08:46 . 2008-10-24 08:46 <REP> d-------- C:\WINDOWS\Internet Logs
2008-10-24 08:46 . 2008-10-24 08:46 <REP> d-------- C:\Program Files\Zone Labs
2008-10-24 08:29 . 2008-10-24 08:29 <REP> d-------- C:\Program Files\7-Zip
2008-10-22 19:10 . 2008-10-22 19:10 <REP> d--hs---- C:\FOUND.000
2008-10-22 17:39 . 2008-10-22 17:39 <REP> d-------- C:\Program Files\wingrd
2008-10-14 09:28 . 2008-10-14 09:28 <REP> d-------- C:\Program Files\Securitoo
2008-10-14 09:28 . 2008-10-14 09:28 <REP> d-------- C:\Program Files\Inventel
2008-10-02 09:16 . 2008-10-02 09:16 <REP> d-------- C:\Program Files\iPod
2008-10-02 09:16 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-10-02 09:16 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-02 09:15 . 2008-10-02 09:15 <REP> d-------- C:\Program Files\Bonjour
2008-10-02 09:15 . 2008-10-02 09:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-16 09:36 . 2008-09-16 09:36 <REP> d-------- C:\Program Files\Apple Software Update
2008-09-09 22:05 . 2008-09-09 22:05 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-26 02:38 2,420 ----a-w C:\WINDOWS\system32\tmp.reg
2008-10-15 17:59 332,800 ------w C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-03 18:12 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 16:39 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-15 16:39 1,846,144 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-08-31 17:24 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\dBpoweramp
2008-08-31 17:21 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\AccurateRip
2008-08-31 17:20 5,052,280 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2008-08-30 13:57 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Search Settings
2008-08-30 13:53 --------- d-----w C:\Program Files\Search Settings
2008-08-30 13:51 --------- d-----w C:\Program Files\Dealio
2008-08-29 09:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 08:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-28 11:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-28 11:04 333,056 ------w C:\WINDOWS\system32\dllcache\srv.sys
2008-08-27 10:11 3,593,216 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-25 09:39 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 09:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 06:56 635,848 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 06:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-14 14:44 2,182,400 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 14:44 2,182,400 ------w C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-08-14 14:44 2,138,112 ------w C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-14 14:44 2,059,776 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 14:44 2,059,776 ------w C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-08-14 14:44 2,017,792 ------w C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-08-14 10:51 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 21:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-18 21:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 21:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-15 14:40 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-07-07 21:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 21:31 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2007-06-24 18:47 60,583 ----a-w C:\Program Files\Uninstall Emule.exe
2007-06-24 15:37 247,808 ----a-w C:\Program Files\RestorWIN.exe
2007-05-14 11:40 5,304,320 ----a-w C:\Program Files\emule.exe
2007-05-13 15:35 250,259 ----a-w C:\Program Files\changelog.ger.txt
2007-05-13 12:48 277,862 ----a-w C:\Program Files\changelog.txt
2007-05-13 12:30 15,146 ----a-w C:\Program Files\Template.eMuleSkin.ini
2007-04-30 17:47 72,220 ----a-w C:\Program Files\eMule Light.tmpl
2007-03-21 08:45 4,667 ----a-w C:\Program Files\legitcheck.hta
2006-11-29 09:30 6,626,032 ----a-w C:\Program Files\FirefoxGoogleToolbarSetup.exe
2006-11-27 07:28 498 ----a-w C:\Program Files\nero.inf
2006-11-23 08:43 769,536 ----a-w C:\Program Files\sfdnwin.exe
2006-11-08 10:01 24,616,530 ----a-w C:\Program Files\patch_easy_cd_creator_5.3.5.10_platinum_fr.exe
2006-08-30 15:51 638,125 ----a-w C:\Program Files\eMule.chm
2006-07-03 12:26 115,247 ----a-w C:\Program Files\eMule.tmpl
2006-03-22 22:12 270,336 ----a-w C:\Program Files\LinkCreator.exe
2005-12-02 05:44 4 ----a-w C:\Documents and Settings\Propriétaire\lock.dat
2005-12-02 05:44 4 ----a-w C:\Documents and Settings\Propriétaire\lock.dat
2005-03-29 13:59 897 ----a-w C:\Program Files\setup.ini
2005-03-29 10:31 456 ----a-w C:\Program Files\layout.bin
2005-03-29 10:31 405,649 ----a-w C:\Program Files\setup.boot
2005-03-29 10:31 40,850 ----a-w C:\Program Files\data1.hdr
2005-03-29 10:31 190,546 ----a-w C:\Program Files\setup.inx
2005-03-18 14:37 25 ----a-w C:\Program Files\setup-s.bat
2004-10-29 21:09 539 ----a-w C:\Program Files\setup.iss
2002-10-08 17:10 18,401 ----a-w C:\Program Files\license-GER.txt
2002-10-08 17:10 14,971 ----a-w C:\Program Files\license.txt
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"wintipgrd.exe"="C:\Program Files\wingrd\wintipgrd.exe" [2008-10-16 1419776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-19 185896]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-01-25 51048]
"osCheck"="C:\Program Files\Norton AntiVirus\osCheck.exe" [2008-02-07 718704]
"SearchSettings"="C:\Program Files\Search Settings\SearchSettings.exe" [2008-06-12 991584]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"QuickTime Task"="D:\Program Files\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="D:\Programmes\iTunesHelper.exe" [2008-09-10 289576]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Anvshell"="anvshell.exe" [2002-08-22 C:\WINDOWS\anvshell.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bfI03.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ejM03.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\koS71.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nrU25.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nrV71.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nsV48.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vbE47.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=C:\WINDOWS\pss\DSLMON.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk
backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdaptecDirectCD]
--a------ 2006-11-28 11:26 684032 C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\Directcd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2008-08-21 03:18 443968 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 03:43 83608 C:\Program Files\Java\jre1.6.0_01\bin\JUSCHED.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-01-19 14:46 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-03-14 16:52 3770024 D:\Programmes\TOMTOM\TomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveNote]
-ra------ 2002-07-11 15:31 40960 C:\WINDOWS\livenote.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-06-18 12:44 46592 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\EA GAMES\\Battlefield Vietnam\\bfvietnam.exe"=
"D:\\Programmes\\LIMEWIRE\\LimeWire.exe"=
"D:\\Programmes\\EMULE 2\\eMule\\eMule.exe"=

R0 bfI03;bfI03;C:\WINDOWS\System32\Drivers\bfI03.sys []
R0 ejM03;ejM03;C:\WINDOWS\System32\Drivers\ejM03.sys []
R0 koS71;koS71;C:\WINDOWS\System32\Drivers\koS71.sys []
R0 nrU25;nrU25;C:\WINDOWS\System32\Drivers\nrU25.sys []
R0 nrV71;nrV71;C:\WINDOWS\System32\Drivers\nrV71.sys []
R0 nsV48;nsV48;C:\WINDOWS\System32\Drivers\nsV48.sys []
R0 vbE47;vbE47;C:\WINDOWS\System32\Drivers\vbE47.sys []
R1 ANVIOCTL;ANVIOCTL;C:\WINDOWS\system32\DRIVERS\anvioctl.sys [2002-09-19 04:35]
S0 MrFilter;EasyWrite Driver;C:\WINDOWS\system32\DRIVERS\MrFilter.syS [2002-10-03 02:49]
S1 ANVOSDNT;ASUS Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\anvosdnt.sys [2005-07-29 15:10]
S2 LiveUpdate Notice;LiveUpdate Notice;C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe [2008-01-25 19:47]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45de3f94-23ac-11dc-a2f9-00e018aea224}]
\Shell\AutoRun\command - I:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45de3f95-23ac-11dc-a2f9-00e018aea224}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe
.
Contenu du dossier 'Tâches planifiées'

2008-10-27 C:\WINDOWS\Tasks\Norton AntiVirus - Effectuer une analyse complète du système - Propriétaire.job
- C:\Program Files\Norton AntiVirus\Navw32.exe [2008-02-07 08:05]

2008-10-25 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-Acronis Scheduler2 Service - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
MSConfigStartUp-Google Desktop Search - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-MsnMsgr - C:\Program Files\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-Orange Desktop Search - C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
MSConfigStartUp-QuickTime Task - C:\Program Files\QuickTime\qttask.exe
MSConfigStartUp-SDTray - C:\Program Files\Spyware Doctor\SDTrayApp.exe
MSConfigStartUp-Symantec NetDriver Monitor - C:\PROGRA~1\SYMNET~1\SNDMon.exe
MSConfigStartUp-TrueImageMonitor - D:\Programmes\TRUE IMAGE 9\TrueImageMonitor.exe
MSConfigStartUp-updateMgr - C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
MSConfigStartUp-WooCnxMon - C:\PROGRA~1\WANADOO\CnxMon.exe
MSConfigStartUp-WOOTASKBARICON - C:\PROGRA~1\WANADOO\TaskbarIcon.exe
MSConfigStartUp-WOOWATCH - C:\PROGRA~1\WANADOO\Watch.exe
MSConfigStartUp-Device Detector - DevDetect.exe

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\suite.User0\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - C:\Program Files\Picasa2\npPicasa2.dll
FF -: plugin - D:\Program Files\Netscape6\nppl3260.dll
FF -: plugin - D:\Program Files\Netscape6\nprjplug.dll
FF -: plugin - D:\Program Files\Netscape6\nprpjplug.dll
FF -: plugin - D:\Program Files\Plugins\npqtplugin.dll
FF -: plugin - D:\Program Files\Plugins\npqtplugin2.dll
FF -: plugin - D:\Program Files\Plugins\npqtplugin3.dll
FF -: plugin - D:\Program Files\Plugins\npqtplugin4.dll
FF -: plugin - D:\Program Files\Plugins\npqtplugin5.dll
FF -: plugin - D:\Program Files\Plugins\npqtplugin6.dll
FF -: plugin - D:\Program Files\Plugins\npqtplugin7.dll
FF -: plugin - D:\Programmes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-31 14:37:55
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-31 14:39:10
ComboFix-quarantined-files.txt 2008-10-31 13:39:06

Avant-CF: 2,293,899,264 octets libres
Après-CF: 2,350,899,200 octets libres

330 --- E O F --- 2008-10-24 09:41:40

totobetourne · Answer

1)Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe


2)Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer.

Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

3)puis copie les lignes en gras qui se trouvent en dessous :

::folder

C:\Documents and Settings\Propriétaire\Application Data\Search Settings 
C:\Program Files\Search Settings 
C:\Program Files\Dealio 



et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
4) Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

5) Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître , dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau.

ALAINREDON · Answer

OK ... pour le lancer c'est la touche CLEAN UP ?? 
parce qu'avec MOVE IT il ne se passe rien

ALAINREDON · Answer

J'ai pas l'impressionq ue tu as les fichiers dont tu parles ..

Voila ce qu'ikl me dit ..( Apres Clean - Up ) 

File/Folder avenger.zip not found.
File/Folder avenger.exe not found.
File/Folder Avenger not found.
File/Folder avenger.txt not found.
File/Folder bfu.zip not found.
File/Folder BFU not found.
C:\WINDOWS\subs folder deleted successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\Propriétaire\Mes documents folder deleted successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\Propriétaire folder deleted successfully.
C:\Qoobox\Quarantine\C\Documents and Settings folder deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers folder deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32 folder deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS folder deleted successfully.
C:\Qoobox\Quarantine\C\Program Files\Applications folder deleted successfully.
C:\Qoobox\Quarantine\C\Program Files folder deleted successfully.
C:\Qoobox\Quarantine\C folder deleted successfully.
C:\Qoobox\Quarantine\Registry_backups folder deleted successfully.
C:\Qoobox\Quarantine folder deleted successfully.
C:\Qoobox folder deleted successfully.
Service not present: catchme.
Service not present: gmer.
File delete failed. C:\Documents and Settings\Propriétaire\Bureau\OTMoveIt3.exe scheduled to be deleted on reboot.
C:\_OTMoveIt\MovedFiles\10312008_153030 folder deleted successfully.
C:\_OTMoveIt\MovedFiles\10312008_152732 folder deleted successfully.
C:\_OTMoveIt\MovedFiles folder deleted successfully.
C:\_OTMoveIt folder deleted successfully.
C:\VundoFix Backups folder deleted successfully.
File delete failed. C:\Documents and Settings\Propriétaire\Bureau\OTMoveIt3.exe scheduled to be deleted on reboot.

ALAINREDON · Answer

Me laisses pas tomber maintenant STP ...

ALAINREDON · Answer

Ce programme OTMoveIt3M.. ne fonctionne pas comme prévu ..
-----------------------------------------------------------------------------------------------------
Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

2)Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer.

Assure toi que la case Unregister Dll's and Ocx's soit bien cochée
------------------------------------------------------------------------------------------------

Jusque là , ca va
-------------------------------------------------------------------------------------------

<souligne>3)puis copie les lignes en gras qui se trouvent en dessous :

Pas de lignes en gras

::folder

C:\Documents and Settings\Propriétaire\Application Data\Search Settings
C:\Program Files\Search Settings
C:\Program Files\Dealio
</souligne>
-------------------------------------------------------------------------------------
Ces lignes n'ont pas été affichées ( j t'ai envoyé la reponse du PGM )

et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
---------------------------------------------------------------------------

4) Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

-------------------------------------------------------------------------

OTMoveIt\MovedFiles. n'existe pas sur C:

Que faut il faire .. ??

merci

ALAINREDON · Answer

Finalement  a force de tout retourner dans tous les sens , je me demande si j'ai bien compris ce que tu me demandais .

Quand tu dis : 

puis copie les lignes en gras qui se trouvent en dessous : 

::folder 

C:\Documents and Settings\Propriétaire\Application Data\Search Settings 
C:\Program Files\Search Settings 
C:\Program Files\Dealio 



et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move." 
clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre Results. 
clique sur Exit pour fermer. 

TU veux dire que ce sont ces lignes là que je dois copier ?? 

Tu disais qu'elles etaient " en gras" mais ce n'est pas le cas .. Alors j'ai pensé que c'etait dans  Oldtimer qu'elles se trouvaient ?? 

Finalement je sais plus ou j'en suis .. 
.

totobetourne · Answer

bon . je n y arrive pas.fait une recherche sur google et tape search settings. 

essaye de voir comment on enleve cette merde car je n y arrive pas comme evoque auparavant.

ALAINREDON · Answer

Aaahhh !!! Je suis content que tu me répondes .je croyais que tu m'avais laissé tombé ..

Bon , si tu sais .. tu sais pas .. je t'en veux pas .. 

mais attend , y a un truc qu'on a pas fait avec OTMOVEIT

tu voulais que je copie les lignes dans le  cadre de gauche :

::folder

C:\Documents and Settings\Propriétaire\Application Data\Search Settings
C:\Program Files\Search Settings
C:\Program Files\Dealio


Au debut j'avais pas compris ce que tu voulais dire .. 
Je vais le faire , mais :  

::: folder , c'est a prendre aussi ou c'est une faute de frappe ?? 

Je dois m'absenter jsuqu'a Lundi , je le ferai Lundi apres midi et je te posterai le rapport ..

Bon Maintenant quand tu dis d'aller chercher sur Google :   Search setting .. qu'est ce que je doiis faire avec la réponse ?? Je suis allé y faire un tour .. C'est plutot imbitable ..

totobetourne · Answer

desole mais j ai du mal la dessus par il doit y avoir differentes variantes de cette infection et j ai du mal a m y retrouver.

1)j ai vu que ce fix peut aider sur cette infection , colle le rapport de bt fix
http://ftp1.toocharger.com/lo9UPiq/btfix_1_27178.zip

oublie ce que je t ai dit avec otmove it


2)apres refais moi un hijack et colle le rapport.

Spyware XLG PRIVACY CONTROL CENTER ...help !

31 réponses

Votre réponse

Discussions similaires

Newsletters