Virus Antivirus 2009 Résolu

Question

Bonjour,

En tappant sur Google "Virus antivirus 2009", j'ai vu plusieurs liens vers ce site où des personnes ont eu exactement le même problème que moi. En voulant répondre à un de ces topics il m'a été conseillé de créer mon propre sujet sur la question. C'est donc ce que je fais ...

Depuis quelques jours, j'ai en permanance des fenêtres me poussant à installer "antivirus2009" et un nombre impressionnant de pub. Déjà auparavant j'avais quelques pub CiD mais là c'est puissance 1000 ! Je suppose que c'est lié au virus antivirus 2009. J'ai fais un scanner avec avast qui m'a trouvé des virus mais n'a pas supprimé celui là.
Sur un autre forum, j'ai vu qu'on pouvait faire une sorte de rapport et qu'on pouvait m'aider sur ce site. J'espère vraiment que vous trouverez la solution. 

Merci d'avance.
Voici le rapport avec HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:04, on 11/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\ieexplorer32.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\HAD\PTW.EXE
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Em\Bureau\Coucou.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fdivertissement%2fcelebrites%2fgalery%2fwentworth02.jpg%3f
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: &Research - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\WINDOWS\system32\winsrc.dll
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {D9EEC67F-E979-4394-AF25-98DBC5EA7BBB} - C:\WINDOWS\system32
nnkKEXR.dll
O2 - BHO: {a7fde89a-0048-6dd8-1554-87246f95121e} - {e12159f6-4278-4551-8dd6-8400a98edf7a} - C:\WINDOWS\system32\gtguzx.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [c4e3fe58] rundll32.exe "C:\WINDOWS\system32\cvnvsmfc.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [E06FDXRC_208828] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [27394083751167013977194930702190] C:\Program Files\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieexplorer32.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: Prayer.lnk = C:\HAD\PTW.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: gtguzx.dll
O20 - Winlogon Notify: nnnkKEXR - C:\WINDOWS\SYSTEM32
nnkKEXR.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

sKe69 · Accepted Answer

Salut à tous,


un vrai bordel ce topic !!!!!!

Safius,

cela se passe entre toi et moi maintenant , et uniquement entre nous deux !  =)
( les autres , ne plus intervenir , merci ^^ )


fais ceci dans l'ordre , on va repartir sur des outils propres :


1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

=========================

2- Si tu ne l'as pas déjà , télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "francais" en langue . 
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières. 


Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

====================

3- Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .
 
B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif . 

Conseil : laisses ces paramètres par la suite ...


====================

4-  Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

A- Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

B- !! Déconnectes toi et fermes toute tes applications en cours !! 

Cliques sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ...

archet9 · Answer

pour les pubs cid
commence par ceci:

--Télécharge LopSD.exe sur ton Bureau 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2 

Clique-droit sur le raccourci LopSD présent sur le Bureau et choisis "Exécuter en tant qu'administrateur" pour lancer LopSD. 

Choisis la langue F pour Français puis valide par Entrée. 

Choisis l'option Recherche en saisissant 1 puis valide par Entrée 
. 
* Patiente jusqu'à la fin du scan 
* Poste le rapport généré qui se trouve ici => (C:\lopR.txt) 

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide) 

Si tu as un problème pour utiliser Lop S&D, regarde ce tutorial 

a+
Antonio Giacomo Stradivari, souvent appelé Stradivarius (Crémone, 1644 - Crémone, 18 décembre 1737 
Le Soil (1714), considéré par beaucoup comme le meilleur instrument du monde.
peu de temps avant sa mort il cherchait encore...

Safius · Answer

Merci pour ton aide =)
Voilà donc le rapport :


   --------------------\  Lop S&D 4.2.4-9c   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(TM) XP 2600+ )
   BIOS : Award Modular BIOS v6.0
   USER : Em ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1229 [VPS 081111-0] 4.8.1229 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:97 Go (Free:41 Go)
   D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   E:\ (CD or DVD)
   F:\ (Local Disk) - NTFS - Total:58 Go (Free:56 Go)
   G:\ (Local Disk) - NTFS - Total:135 Go (Free:46 Go)
   H:\ (Local Disk) - NTFS - Total:53 Go (Free:7 Go)

   "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
   Option : [1] ( 11/11/2008|18:33 )
 
   --------------------\  Listing des dossiers dans APPLIC~1

   [02/03/2008|13:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [23/06/2007|15:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ahead
   [17/02/2008|18:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
   [29/03/2008|20:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
   [24/09/2008|20:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software
   [26/01/2008|16:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
   [27/11/2007|22:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
   [10/11/2008|19:41] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Memo save stupid creative
   [10/04/2008|19:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
   [08/04/2008|13:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MGI
   [07/04/2008|11:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [23/06/2007|14:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
   [18/02/2008|19:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
   [24/09/2008|20:59] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony
   [24/09/2008|20:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
   [30/01/2008|12:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
   [15/02/2008|13:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ulead Systems
   [24/06/2007|15:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [18/04/2008|21:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

   [23/06/2007|13:41] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [19/01/2008|18:21] C:\DOCUME~1\Em\APPLIC~1\Adobe
   [23/06/2007|19:35] C:\DOCUME~1\Em\APPLIC~1\AdobeUM
   [20/02/2008|22:31] C:\DOCUME~1\Em\APPLIC~1\Ahead
   [27/11/2007|22:48] C:\DOCUME~1\Em\APPLIC~1\AlMAdinahMushaf
   [01/04/2008|17:37] C:\DOCUME~1\Em\APPLIC~1\Apple Computer
   [29/01/2008|18:30] C:\DOCUME~1\Em\APPLIC~1\Ectaco
   [11/11/2008|18:26] C:\DOCUME~1\Em\APPLIC~1\EoRezo
   [26/06/2007|20:33] C:\DOCUME~1\Em\APPLIC~1\FotoWire
   [26/01/2008|19:02] C:\DOCUME~1\Em\APPLIC~1\Google
   [09/12/2007|14:19] C:\DOCUME~1\Em\APPLIC~1\gtk-2.0
   [23/06/2007|14:15] C:\DOCUME~1\Em\APPLIC~1\Help
   [23/06/2007|13:48] C:\DOCUME~1\Em\APPLIC~1\Identities
   [24/09/2008|20:27] C:\DOCUME~1\Em\APPLIC~1\InstallShield
   [26/06/2007|23:51] C:\DOCUME~1\Em\APPLIC~1\InterTrust
   [19/01/2008|13:53] C:\DOCUME~1\Em\APPLIC~1\ItsLabel
   [11/11/2008|14:06] C:\DOCUME~1\Em\APPLIC~1\KindOpenHole
   [24/11/2007|18:47] C:\DOCUME~1\Em\APPLIC~1\LimeWire
   [16/09/2007|13:55] C:\DOCUME~1\Em\APPLIC~1\Macromedia
   [15/05/2008|18:40] C:\DOCUME~1\Em\APPLIC~1\Microsoft
   [26/06/2007|19:49] C:\DOCUME~1\Em\APPLIC~1\Mozilla
   [29/08/2008|21:12] C:\DOCUME~1\Em\APPLIC~1\Real
   [11/11/2008|17:47] C:\DOCUME~1\Em\APPLIC~1\Skype
   [11/11/2008|17:47] C:\DOCUME~1\Em\APPLIC~1\skypePM
   [24/09/2008|20:59] C:\DOCUME~1\Em\APPLIC~1\Sony
   [24/09/2008|20:34] C:\DOCUME~1\Em\APPLIC~1\Sony Setup
   [19/01/2008|17:05] C:\DOCUME~1\Em\APPLIC~1\SPAMfighter
   [23/06/2007|14:49] C:\DOCUME~1\Em\APPLIC~1\Sun
   [09/12/2007|21:24] C:\DOCUME~1\Em\APPLIC~1\Template
   [31/10/2007|19:09] C:\DOCUME~1\Em\APPLIC~1\Thunderbird
   [15/02/2008|13:18] C:\DOCUME~1\Em\APPLIC~1\Ulead Systems
   [19/01/2008|14:05] C:\DOCUME~1\Em\APPLIC~1\URUSoft
   [13/11/2007|14:43] C:\DOCUME~1\Em\APPLIC~1\vlc
   [29/01/2008|19:00] C:\DOCUME~1\Em\APPLIC~1\WinMount

   [23/06/2007|13:41] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft


   [23/06/2007|13:41] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [11/11/2008 17:46][--ah-----] C:\WINDOWS	asks\SA.DAT
   [28/08/2001 16:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [02/03/2008|13:50] C:\Program Files\Adobe
   [26/06/2007|20:28] C:\Program Files\Agfa
   [26/06/2007|20:29] C:\Program Files\AGFAnet
   [24/02/2008|15:14] C:\Program Files\Ahead
   [24/06/2007|09:18] C:\Program Files\Al Muhaddith
   [23/06/2007|14:04] C:\Program Files\Alwil Software
   [23/06/2007|14:12] C:\Program Files\Analog Devices
   [09/11/2008|21:25] C:\Program Files\Antivirus 2009
   [26/06/2007|23:50] C:\Program Files\ASUS
   [14/11/2007|14:20] C:\Program Files\Athan
   [24/09/2008|20:44] C:\Program Files\Avanquest update
   [14/09/2008|16:43] C:\Program Files\AVIConverter
   [19/01/2008|16:32] C:\Program Files\Babylon
   [23/06/2007|13:39] C:\Program Files\ComPlus Applications
   [14/09/2008|16:42] C:\Program Files\Consumer Update Firmware
   [08/04/2008|13:05] C:\Program Files\Cresta
   [14/01/2008|21:23] C:\Program Files\Dictionnaire
   [12/02/2008|11:30] C:\Program Files\DivX
   [29/01/2008|17:54] C:\Program Files\DSL Speed
   [23/06/2007|14:57] C:\Program Files\EasyPHP1-7
   [15/05/2008|18:38] C:\Program Files\EoRezo
   [27/06/2007|11:06] C:\Program Files\EPSON
   [10/09/2008|20:11] C:\Program Files\Fichiers communs
   [06/02/2008|00:39] C:\Program Files\Google
   [09/11/2008|16:23] C:\Program Files\IBEAD
   [23/06/2007|15:06] C:\Program Files\ICQLite
   [09/11/2008|16:23] C:\Program Files\InstallShield Installation Information
   [24/09/2008|20:49] C:\Program Files\Internet Explorer
   [29/03/2008|20:10] C:\Program Files\iPod
   [29/01/2008|16:55] C:\Program Files\ItsLabel
   [29/03/2008|20:10] C:\Program Files\iTunes
   [21/11/2007|19:53] C:\Program Files\Java
   [27/09/2008|20:04] C:\Program Files\KindOpenHole
   [23/06/2007|14:56] C:\Program Files\LeechFTP
   [15/05/2008|18:45] C:\Program Files\Logitech
   [23/06/2007|13:39] C:\Program Files\Messenger
   [07/04/2008|12:50] C:\Program Files\Messenger Plus! Live
   [07/11/2008|22:31] C:\Program Files\MGI
   [23/06/2007|15:23] C:\Program Files\Microsoft ActiveSync
   [16/09/2007|13:57] C:\Program Files\Microsoft Encarta
   [16/09/2007|15:23] C:\Program Files\Microsoft Money4
   [23/06/2007|15:15] C:\Program Files\Microsoft Office
   [10/02/2008|11:29] C:\Program Files\Microsoft Silverlight
   [07/04/2008|12:38] C:\Program Files\Microsoft SQL Server Compact Edition
   [23/06/2007|15:16] C:\Program Files\Microsoft Visual Studio
   [23/06/2007|15:20] C:\Program Files\Microsoft Works
   [23/06/2007|14:45] C:\Program Files\mIRC
   [09/02/2008|13:05] C:\Program Files\Movie Maker
   [11/11/2008|18:08] C:\Program Files\Mozilla Firefox
   [10/02/2008|18:35] C:\Program Files\Mozilla Thunderbird
   [29/01/2008|18:35] C:\Program Files\MultiTranse
   [27/11/2007|22:33] C:\Program Files\My Company Name
   [23/06/2007|13:40] C:\Program Files\NetMeeting
   [26/06/2007|19:45] C:\Program Files\Netscape
   [23/06/2007|13:40] C:\Program Files\Outlook Express
   [19/01/2008|13:55] C:\Program Files\PDFCreator
   [19/01/2008|13:55] C:\Program Files\PDFCreator Toolbar
   [24/02/2008|19:28] C:\Program Files\PhotoFiltre
   [19/01/2008|14:07] C:\Program Files\PhotoFiltre Studio
   [30/01/2008|12:50] C:\Program Files\Pidgin
   [29/03/2008|20:08] C:\Program Files\QuickTime
   [23/06/2007|14:52] C:\Program Files\Real
   [19/01/2008|14:21] C:\Program Files\Rocket Division Software
   [23/06/2007|13:41] C:\Program Files\Services en ligne
   [18/02/2008|19:09] C:\Program Files\Skype
   [24/09/2008|20:55] C:\Program Files\Sony
   [24/09/2008|20:55] C:\Program Files\Sony Ericsson
   [11/11/2008|17:48] C:\Program Files\SPAMfighter
   [30/01/2008|12:51] C:\Program Files\Spybot - Search & Destroy
   [11/11/2008|14:28] C:\Program Files\STK016_V2.01
   [23/06/2007|14:49] C:\Program Files\Trillian
   [23/06/2007|14:15] C:\Program Files\Ulead Systems
   [23/06/2007|13:48] C:\Program Files\Uninstall Information
   [19/01/2008|14:05] C:\Program Files\URUSoft
   [13/11/2007|14:41] C:\Program Files\VideoLAN
   [26/06/2007|19:49] C:\Program Files\Viewpoint
   [23/06/2007|14:58] C:\Program Files\VirtualDub
   [06/11/2007|19:45] C:\Program Files\Winamp
   [15/05/2008|18:41] C:\Program Files\Windows Live
   [23/06/2007|14:15] C:\Program Files\Windows Media Components
   [06/11/2007|19:39] C:\Program Files\Windows Media Player
   [23/06/2007|13:39] C:\Program Files\Windows NT
   [23/06/2007|13:41] C:\Program Files\WindowsUpdate
   [19/01/2008|14:43] C:\Program Files\WinRAR
   [19/01/2008|14:15] C:\Program Files\WinZip
   [02/02/2008|09:28] C:\Program Files\Yahoo!
   [27/11/2007|22:50] C:\Program Files\ê­¥&#1607; &#1722;éê§ïë&#1548; &#1722;éë &#1610;ï&#1548;

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [02/03/2008|13:50] C:\Program Files\Fichiers communs\Adobe
   [22/02/2008|17:17] C:\Program Files\Fichiers communs\Ahead
   [10/09/2008|20:11] C:\Program Files\Fichiers communs\Ankiro
   [10/09/2008|20:11] C:\Program Files\Fichiers communs\Application
   [23/06/2007|15:16] C:\Program Files\Fichiers communs\Designer
   [27/06/2007|10:57] C:\Program Files\Fichiers communs\EPSON
   [26/06/2007|20:48] C:\Program Files\Fichiers communs\FotoWire
   [15/05/2008|18:43] C:\Program Files\Fichiers communs\GTK
   [28/06/2007|09:40] C:\Program Files\Fichiers communs\InstallShield
   [23/06/2007|14:48] C:\Program Files\Fichiers communs\Java
   [23/06/2007|15:22] C:\Program Files\Fichiers communs\L&H
   [04/04/2008|18:32] C:\Program Files\Fichiers communs\Logitech
   [07/11/2008|22:31] C:\Program Files\Fichiers communs\MGI Shared
   [24/09/2008|20:54] C:\Program Files\Fichiers communs\Microsoft Shared
   [26/06/2007|19:48] C:\Program Files\Fichiers communs\mozilla.org
   [23/06/2007|13:40] C:\Program Files\Fichiers communs\MSSoap
   [23/06/2007|15:02] C:\Program Files\Fichiers communs\Nero
   [23/06/2007|15:35] C:\Program Files\Fichiers communs\ODBC
   [23/06/2007|14:52] C:\Program Files\Fichiers communs\Real
   [23/06/2007|13:40] C:\Program Files\Fichiers communs\Services
   [18/02/2008|19:09] C:\Program Files\Fichiers communs\Skype
   [23/06/2007|15:22] C:\Program Files\Fichiers communs\SpeechEngines
   [23/06/2007|15:15] C:\Program Files\Fichiers communs\System
   [23/06/2007|14:15] C:\Program Files\Fichiers communs\Ulead Systems
   [07/04/2008|12:37] C:\Program Files\Fichiers communs\WindowsLiveInstaller
   [23/06/2007|14:52] C:\Program Files\Fichiers communs\xing shared

   --------------------\  Process

   ( 60 Processes )

   iexplore.exe ~ [PID:2688]

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Memo save stupid creative
   C:\DOCUME~1\Em\LOCALS~1\Temp
s_temp
   C:\DOCUME~1\Em\Cookies\em@bigpoint[1].txt
   C:\DOCUME~1\Em\Cookies\em@fr1.darkorbit.bigpoint[1].txt
   C:\DOCUME~1\Em\Cookies\em@banner.cotedazurpalace[2].txt
   C:\DOCUME~1\Em\Cookies\em@cotedazurpalace[2].txt
   C:\DOCUME~1\Em\Cookies\em@www.cotedazurpalace[1].txt
 
   --------------------\  Verification du Registre

   [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts MODIFIE

   127.0.0.1 bin.errorprotector.com ## added by CiD
   127.0.0.1 br.errorsafe.com ## added by CiD
   127.0.0.1 br.winantivirus.com ## added by CiD
   127.0.0.1 br.winfixer.com ## added by CiD
   127.0.0.1 cdn.drivecleaner.com ## added by CiD
   127.0.0.1 cdn.errorsafe.com ## added by CiD
   127.0.0.1 cdn.winsoftware.com ## added by CiD
   127.0.0.1 de.errorsafe.com ## added by CiD
   127.0.0.1 de.winantivirus.com ## added by CiD
   127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
   127.0.0.1 download.cdn.errorsafe.com ## added by CiD
   127.0.0.1 download.cdn.winsoftware.com ## added by CiD
   127.0.0.1 download.errorsafe.com ## added by CiD
   127.0.0.1 download.systemdoctor.com ## added by CiD
   127.0.0.1 download.winantispyware.com ## added by CiD
   127.0.0.1 download.windrivecleaner.com ## added by CiD
   127.0.0.1 download.winfixer.com ## added by CiD
   127.0.0.1 drivecleaner.com ## added by CiD
   127.0.0.1 dynamique.drivecleaner.com ## added by CiD
   127.0.0.1 errorprotector.com ## added by CiD
   127.0.0.1 errorsafe.com ## added by CiD
   127.0.0.1 es.winantivirus.com ## added by CiD
   127.0.0.1 fr.winantivirus.com ## added by CiD
   127.0.0.1 fr.winfixer.com ## added by CiD
   127.0.0.1 go.drivecleaner.com ## added by CiD
   127.0.0.1 go.errorsafe.com ## added by CiD
   127.0.0.1 go.winantispyware.com ## added by CiD
   127.0.0.1 go.winantivirus.com ## added by CiD
   127.0.0.1 hk.winantivirus.com ## added by CiD
   127.0.0.1 instlog.errorsafe.com ## added by CiD
   127.0.0.1 instlog.winantivirus.com ## added by CiD
   127.0.0.1 instlog.winfixer.com ## added by CiD
   127.0.0.1 jsp.drivecleaner.com ## added by CiD
   127.0.0.1 kb.errorsafe.com ## added by CiD
   127.0.0.1 kb.winantivirus.com ## added by CiD
   127.0.0.1 nl.errorsafe.com ## added by CiD
   127.0.0.1 se.errorsafe.com ## added by CiD
   127.0.0.1 secure.drivecleaner.com ## added by CiD
   127.0.0.1 secure.errorsafe.com ## added by CiD
   127.0.0.1 secure.winantispam.com ## added by CiD
   127.0.0.1 secure.winantispy.com ## added by CiD
   127.0.0.1 secure.winantivirus.com ## added by CiD
   127.0.0.1 support.winantivirus.com ## added by CiD
   127.0.0.1 trial.updates.winsoftware.com ## added by CiD
   127.0.0.1 ulog.winantivirus.com ## added by CiD
   127.0.0.1 utils.errorsafe.com ## added by CiD
   127.0.0.1 utils.winantivirus.com ## added by CiD
   127.0.0.1 utils.winfixer.com ## added by CiD
   127.0.0.1 winantispyware.com ## added by CiD
   127.0.0.1 winantivirus.com ## added by CiD
   127.0.0.1 winfixer.com ## added by CiD
   127.0.0.1 winfixer2006.com ## added by CiD
   127.0.0.1 winsoftware.com ## added by CiD
   127.0.0.1 [i]ww/iw.drivecleaner.com ## added by CiD
   127.0.0.1 [i]ww/iw.errorprotector.com ## added by CiD
   127.0.0.1 [i]ww/iw.errorsafe.com ## added by CiD
   127.0.0.1 [i]ww/iw.systemdoctor.com ## added by CiD
   127.0.0.1 [i]ww/iw.utils.winfixer.com ## added by CiD
   127.0.0.1 [i]ww/iw.win-anti-virus-pro.com ## added by CiD
   127.0.0.1 [i]ww/iw.win-virus-pro.com ## added by CiD
   127.0.0.1 [i]ww/iw.winantispam.com ## added by CiD
   127.0.0.1 [i]ww/iw.winantispy.com ## added by CiD
   127.0.0.1 [i]ww/iw.winantispyware.com ## added by CiD
   127.0.0.1 [i]ww/iw.winantiviruspro.com ## added by CiD
   127.0.0.1 [i]ww/iw.windrivecleaner.com ## added by CiD
   127.0.0.1 [i]ww/iw.windrivesafe.com ## added by CiD
   127.0.0.1 [i]ww/iw.winfixer.com ## added by CiD
   127.0.0.1 [i]ww/iw.winfixer2006.com ## added by CiD
   127.0.0.1 [i]ww/iw.winsoftware.com ## added by CiD

   -> 4113 [ 69 ## added by CiD ]

   /!\ 2 Not 127.0.0.1  !!

   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-11-11 18:38:32
   Windows 5.1.2600 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\  Recherche d'autres infections

   --------------------\  ROGUES ..

   C:\PROGRA~1\Antivirus 2009

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\Em\Application Data\Real\RealOne Player\History\Crack Music (Feat. The Game).lnk
   C:\DOCUME~1\Em\Favoris\Cracks - Serials
   C:\DOCUME~1\Em\Favoris\Cracks - Serials\Astalavista.box.sk.url


   [F:2335][D:179]-> C:\DOCUME~1\Em\LOCALS~1\Temp
   [F:75][D:0]-> C:\DOCUME~1\Em\Cookies
   [F:954][D:10]-> C:\DOCUME~1\Em\LOCALS~1\TEMPOR~1\content.IE5
   [F:2][D:2]-> C:\$Recycle.Bin

   1 - "C:\Lop SD\LopR_1.txt" - 11/11/2008|18:40 - Option : [1]

   --------------------\  Fin du rapport a 18:40:38

Safius · Answer

Voilà :


   --------------------\  Lop S&D 4.2.4-9c   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(TM) XP 2600+ )
   BIOS : Award Modular BIOS v6.0
   USER : Em ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1229 [VPS 081111-0] 4.8.1229 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:97 Go (Free:41 Go)
   D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   E:\ (CD or DVD)
   F:\ (Local Disk) - NTFS - Total:58 Go (Free:56 Go)
   G:\ (Local Disk) - NTFS - Total:135 Go (Free:46 Go)
   H:\ (Local Disk) - NTFS - Total:53 Go (Free:7 Go)

   "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
   Option : [2] ( 11/11/2008|18:48 )


   \\\\\\\\\\\\\\\ SUPPRESSION

   Supprime! - C:\DOCUME~1\Em\LOCALS~1\Temp
s_temp
   Supprime! - C:\DOCUME~1\Em\Cookies\em@bigpoint[1].txt
   Supprime! - C:\DOCUME~1\Em\Cookies\em@fr1.darkorbit.bigpoint[1].txt
   Supprime! - C:\DOCUME~1\Em\Cookies\em@banner.cotedazurpalace[2].txt
   Supprime! - C:\DOCUME~1\Em\Cookies\em@cotedazurpalace[2].txt
   Supprime! - C:\DOCUME~1\Em\Cookies\em@www.cotedazurpalace[1].txt
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Memo save stupid creative
   -
   [ Fichier Hosts ] .. Restaure!
 
   \\\\\\\\\\\\\\\ 

   Supprime! - C:\Program Files\Viewpoint
 
   \\\\\\\\\\\\\\\

 
   --------------------\  Listing des dossiers dans APPLIC~1

   [02/03/2008|13:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [23/06/2007|15:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ahead
   [17/02/2008|18:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
   [29/03/2008|20:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
   [24/09/2008|20:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software
   [26/01/2008|16:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
   [27/11/2007|22:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
   [10/04/2008|19:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
   [08/04/2008|13:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MGI
   [07/04/2008|11:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [23/06/2007|14:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
   [18/02/2008|19:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
   [24/09/2008|20:59] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony
   [24/09/2008|20:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
   [30/01/2008|12:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
   [15/02/2008|13:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ulead Systems
   [24/06/2007|15:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [18/04/2008|21:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

   [23/06/2007|13:41] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [19/01/2008|18:21] C:\DOCUME~1\Em\APPLIC~1\Adobe
   [23/06/2007|19:35] C:\DOCUME~1\Em\APPLIC~1\AdobeUM
   [20/02/2008|22:31] C:\DOCUME~1\Em\APPLIC~1\Ahead
   [27/11/2007|22:48] C:\DOCUME~1\Em\APPLIC~1\AlMAdinahMushaf
   [01/04/2008|17:37] C:\DOCUME~1\Em\APPLIC~1\Apple Computer
   [29/01/2008|18:30] C:\DOCUME~1\Em\APPLIC~1\Ectaco
   [11/11/2008|18:43] C:\DOCUME~1\Em\APPLIC~1\EoRezo
   [26/06/2007|20:33] C:\DOCUME~1\Em\APPLIC~1\FotoWire
   [26/01/2008|19:02] C:\DOCUME~1\Em\APPLIC~1\Google
   [09/12/2007|14:19] C:\DOCUME~1\Em\APPLIC~1\gtk-2.0
   [23/06/2007|14:15] C:\DOCUME~1\Em\APPLIC~1\Help
   [23/06/2007|13:48] C:\DOCUME~1\Em\APPLIC~1\Identities
   [24/09/2008|20:27] C:\DOCUME~1\Em\APPLIC~1\InstallShield
   [26/06/2007|23:51] C:\DOCUME~1\Em\APPLIC~1\InterTrust
   [19/01/2008|13:53] C:\DOCUME~1\Em\APPLIC~1\ItsLabel
   [11/11/2008|14:06] C:\DOCUME~1\Em\APPLIC~1\KindOpenHole
   [24/11/2007|18:47] C:\DOCUME~1\Em\APPLIC~1\LimeWire
   [16/09/2007|13:55] C:\DOCUME~1\Em\APPLIC~1\Macromedia
   [15/05/2008|18:40] C:\DOCUME~1\Em\APPLIC~1\Microsoft
   [26/06/2007|19:49] C:\DOCUME~1\Em\APPLIC~1\Mozilla
   [29/08/2008|21:12] C:\DOCUME~1\Em\APPLIC~1\Real
   [11/11/2008|18:47] C:\DOCUME~1\Em\APPLIC~1\Skype
   [11/11/2008|17:47] C:\DOCUME~1\Em\APPLIC~1\skypePM
   [24/09/2008|20:59] C:\DOCUME~1\Em\APPLIC~1\Sony
   [24/09/2008|20:34] C:\DOCUME~1\Em\APPLIC~1\Sony Setup
   [19/01/2008|17:05] C:\DOCUME~1\Em\APPLIC~1\SPAMfighter
   [23/06/2007|14:49] C:\DOCUME~1\Em\APPLIC~1\Sun
   [09/12/2007|21:24] C:\DOCUME~1\Em\APPLIC~1\Template
   [31/10/2007|19:09] C:\DOCUME~1\Em\APPLIC~1\Thunderbird
   [15/02/2008|13:18] C:\DOCUME~1\Em\APPLIC~1\Ulead Systems
   [19/01/2008|14:05] C:\DOCUME~1\Em\APPLIC~1\URUSoft
   [13/11/2007|14:43] C:\DOCUME~1\Em\APPLIC~1\vlc
   [29/01/2008|19:00] C:\DOCUME~1\Em\APPLIC~1\WinMount

   [23/06/2007|13:41] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft


   [23/06/2007|13:41] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [11/11/2008 17:46][--ah-----] C:\WINDOWS	asks\SA.DAT
   [28/08/2001 16:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [02/03/2008|13:50] C:\Program Files\Adobe
   [26/06/2007|20:28] C:\Program Files\Agfa
   [26/06/2007|20:29] C:\Program Files\AGFAnet
   [24/02/2008|15:14] C:\Program Files\Ahead
   [24/06/2007|09:18] C:\Program Files\Al Muhaddith
   [23/06/2007|14:04] C:\Program Files\Alwil Software
   [23/06/2007|14:12] C:\Program Files\Analog Devices
   [09/11/2008|21:25] C:\Program Files\Antivirus 2009
   [26/06/2007|23:50] C:\Program Files\ASUS
   [14/11/2007|14:20] C:\Program Files\Athan
   [24/09/2008|20:44] C:\Program Files\Avanquest update
   [14/09/2008|16:43] C:\Program Files\AVIConverter
   [19/01/2008|16:32] C:\Program Files\Babylon
   [23/06/2007|13:39] C:\Program Files\ComPlus Applications
   [14/09/2008|16:42] C:\Program Files\Consumer Update Firmware
   [08/04/2008|13:05] C:\Program Files\Cresta
   [14/01/2008|21:23] C:\Program Files\Dictionnaire
   [12/02/2008|11:30] C:\Program Files\DivX
   [29/01/2008|17:54] C:\Program Files\DSL Speed
   [23/06/2007|14:57] C:\Program Files\EasyPHP1-7
   [15/05/2008|18:38] C:\Program Files\EoRezo
   [27/06/2007|11:06] C:\Program Files\EPSON
   [10/09/2008|20:11] C:\Program Files\Fichiers communs
   [06/02/2008|00:39] C:\Program Files\Google
   [09/11/2008|16:23] C:\Program Files\IBEAD
   [23/06/2007|15:06] C:\Program Files\ICQLite
   [09/11/2008|16:23] C:\Program Files\InstallShield Installation Information
   [24/09/2008|20:49] C:\Program Files\Internet Explorer
   [29/03/2008|20:10] C:\Program Files\iPod
   [29/01/2008|16:55] C:\Program Files\ItsLabel
   [29/03/2008|20:10] C:\Program Files\iTunes
   [21/11/2007|19:53] C:\Program Files\Java
   [27/09/2008|20:04] C:\Program Files\KindOpenHole
   [23/06/2007|14:56] C:\Program Files\LeechFTP
   [15/05/2008|18:45] C:\Program Files\Logitech
   [23/06/2007|13:39] C:\Program Files\Messenger
   [07/04/2008|12:50] C:\Program Files\Messenger Plus! Live
   [07/11/2008|22:31] C:\Program Files\MGI
   [23/06/2007|15:23] C:\Program Files\Microsoft ActiveSync
   [16/09/2007|13:57] C:\Program Files\Microsoft Encarta
   [16/09/2007|15:23] C:\Program Files\Microsoft Money4
   [23/06/2007|15:15] C:\Program Files\Microsoft Office
   [10/02/2008|11:29] C:\Program Files\Microsoft Silverlight
   [07/04/2008|12:38] C:\Program Files\Microsoft SQL Server Compact Edition
   [23/06/2007|15:16] C:\Program Files\Microsoft Visual Studio
   [23/06/2007|15:20] C:\Program Files\Microsoft Works
   [23/06/2007|14:45] C:\Program Files\mIRC
   [09/02/2008|13:05] C:\Program Files\Movie Maker
   [11/11/2008|18:08] C:\Program Files\Mozilla Firefox
   [10/02/2008|18:35] C:\Program Files\Mozilla Thunderbird
   [29/01/2008|18:35] C:\Program Files\MultiTranse
   [27/11/2007|22:33] C:\Program Files\My Company Name
   [23/06/2007|13:40] C:\Program Files\NetMeeting
   [26/06/2007|19:45] C:\Program Files\Netscape
   [23/06/2007|13:40] C:\Program Files\Outlook Express
   [19/01/2008|13:55] C:\Program Files\PDFCreator
   [19/01/2008|13:55] C:\Program Files\PDFCreator Toolbar
   [24/02/2008|19:28] C:\Program Files\PhotoFiltre
   [19/01/2008|14:07] C:\Program Files\PhotoFiltre Studio
   [30/01/2008|12:50] C:\Program Files\Pidgin
   [29/03/2008|20:08] C:\Program Files\QuickTime
   [23/06/2007|14:52] C:\Program Files\Real
   [19/01/2008|14:21] C:\Program Files\Rocket Division Software
   [23/06/2007|13:41] C:\Program Files\Services en ligne
   [18/02/2008|19:09] C:\Program Files\Skype
   [24/09/2008|20:55] C:\Program Files\Sony
   [24/09/2008|20:55] C:\Program Files\Sony Ericsson
   [11/11/2008|17:48] C:\Program Files\SPAMfighter
   [30/01/2008|12:51] C:\Program Files\Spybot - Search & Destroy
   [11/11/2008|14:28] C:\Program Files\STK016_V2.01
   [23/06/2007|14:49] C:\Program Files\Trillian
   [23/06/2007|14:15] C:\Program Files\Ulead Systems
   [23/06/2007|13:48] C:\Program Files\Uninstall Information
   [19/01/2008|14:05] C:\Program Files\URUSoft
   [13/11/2007|14:41] C:\Program Files\VideoLAN
   [23/06/2007|14:58] C:\Program Files\VirtualDub
   [06/11/2007|19:45] C:\Program Files\Winamp
   [15/05/2008|18:41] C:\Program Files\Windows Live
   [23/06/2007|14:15] C:\Program Files\Windows Media Components
   [06/11/2007|19:39] C:\Program Files\Windows Media Player
   [23/06/2007|13:39] C:\Program Files\Windows NT
   [23/06/2007|13:41] C:\Program Files\WindowsUpdate
   [19/01/2008|14:43] C:\Program Files\WinRAR
   [19/01/2008|14:15] C:\Program Files\WinZip
   [02/02/2008|09:28] C:\Program Files\Yahoo!
   [27/11/2007|22:50] C:\Program Files\ê­¥&#1607; &#1722;éê§ïë&#1548; &#1722;éë &#1610;ï&#1548;

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [02/03/2008|13:50] C:\Program Files\Fichiers communs\Adobe
   [22/02/2008|17:17] C:\Program Files\Fichiers communs\Ahead
   [10/09/2008|20:11] C:\Program Files\Fichiers communs\Ankiro
   [10/09/2008|20:11] C:\Program Files\Fichiers communs\Application
   [23/06/2007|15:16] C:\Program Files\Fichiers communs\Designer
   [27/06/2007|10:57] C:\Program Files\Fichiers communs\EPSON
   [26/06/2007|20:48] C:\Program Files\Fichiers communs\FotoWire
   [15/05/2008|18:43] C:\Program Files\Fichiers communs\GTK
   [28/06/2007|09:40] C:\Program Files\Fichiers communs\InstallShield
   [23/06/2007|14:48] C:\Program Files\Fichiers communs\Java
   [23/06/2007|15:22] C:\Program Files\Fichiers communs\L&H
   [04/04/2008|18:32] C:\Program Files\Fichiers communs\Logitech
   [07/11/2008|22:31] C:\Program Files\Fichiers communs\MGI Shared
   [24/09/2008|20:54] C:\Program Files\Fichiers communs\Microsoft Shared
   [26/06/2007|19:48] C:\Program Files\Fichiers communs\mozilla.org
   [23/06/2007|13:40] C:\Program Files\Fichiers communs\MSSoap
   [23/06/2007|15:02] C:\Program Files\Fichiers communs\Nero
   [23/06/2007|15:35] C:\Program Files\Fichiers communs\ODBC
   [23/06/2007|14:52] C:\Program Files\Fichiers communs\Real
   [23/06/2007|13:40] C:\Program Files\Fichiers communs\Services
   [18/02/2008|19:09] C:\Program Files\Fichiers communs\Skype
   [23/06/2007|15:22] C:\Program Files\Fichiers communs\SpeechEngines
   [23/06/2007|15:15] C:\Program Files\Fichiers communs\System
   [23/06/2007|14:15] C:\Program Files\Fichiers communs\Ulead Systems
   [07/04/2008|12:37] C:\Program Files\Fichiers communs\WindowsLiveInstaller
   [23/06/2007|14:52] C:\Program Files\Fichiers communs\xing shared

   --------------------\  Process

   ( 58 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-11-11 18:52:54
   Windows 5.1.2600 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\  Recherche d'autres infections

   --------------------\  ROGUES ..

   C:\PROGRA~1\Antivirus 2009

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\Em\Application Data\Real\RealOne Player\History\Crack Music (Feat. The Game).lnk
   C:\DOCUME~1\Em\Favoris\Cracks - Serials
   C:\DOCUME~1\Em\Favoris\Cracks - Serials\Astalavista.box.sk.url


   [F:2324][D:178]-> C:\DOCUME~1\Em\LOCALS~1\Temp
   [F:70][D:0]-> C:\DOCUME~1\Em\Cookies
   [F:954][D:10]-> C:\DOCUME~1\Em\LOCALS~1\TEMPOR~1\content.IE5
   [F:2][D:2]-> C:\$Recycle.Bin

   1 - "C:\Lop SD\LopR_1.txt" - 11/11/2008|18:40 - Option : [1]
   2 - "C:\Lop SD\LopR_2.txt" - 11/11/2008|18:54 - Option : [2]

   --------------------\  Fin du rapport a 18:54:42

Safius · Answer

Voilà, j'ai fais avec l'option 2 ...

Safius · Answer

Supeer pour les pubs CiD !! Merci beaucoup =)
Je continue à suivre des indications, le balayage est en cours, je vais pas oublier de poster le scan ^^

++

Safius · Answer

Hier soir j'ai pas pu finir mon scan car à presque minuit il n'avait pas encore fini -_-
Alors je pensais faire ça cet après midi, mais là je double clique sur l'icone myware, rien à faire ça ne réagit pas ! Alors je reviens ici pour le télécharger, le lien ne marche plus ! Je cherche sur internet, aucun lien ne marche !

Alors, je sais plus quoi faire :/

Safius · Answer

Oui j'avais déjà essayé et ça ne marche pas :/

archet9 · Answer

on va faire ceci safius

tu va faire ce scan en mode sans echec
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

ensuite double clic sur l icone malwarebytes
ca devrait marcher....
a+

archet9 · Answer

on va faire ceci safius

tu va faire ce scan en mode sans echec
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

ensuite double clic sur l icone malwarebytes
ca devrait marcher....
a+

hooligan63780 · Answer

ca marchera pas non plus ^^

hooligan63780 · Answer

ben je t'es repondu mais en trois message ^^

Safius · Answer

Le lien pour télécharger malware ne marche pas ...

Safius · Answer

Je suis désolée mais ce lien là marche pas non plus ! =(
La page est encore une fois introuvable ...

hooligan63780 · Answer

alors vous y arrivez?

hooligan63780 · Answer

c'est lol surtout pour un cas comme ca ...

hooligan63780 · Answer

ben pro antivirus 2009 il et coriace je l'avait  ben j'ai pinnaillé ^^

hooligan63780 · Answer

ben pro antivirus 2009 il et coriace c'est dur a l'enlevé et je les chopé ben j'ai pinnaillé pour l'enlevé surtotu que je les choper alors que j'avait acheté un jeux et je les pas cracké et je les choper dans ce jeux coriace  ce virus ya des infection vundo bagle rookti malware la total

archet9 · Answer

pour safius

ne t inquiète pas...
on trouvera la solution...
ca bosse pas mal sur cette m++de...
a demain

hooligan63780 · Answer

oui bon moi ej vais dormir demain je travail 4h debout sniffff a demain pour suite et fin (j'espere)

hooligan63780 · Answer

Salut alors il a tjr pas repondu ?

Safius · Answer

Salut, désolé de ne répondre que maintenant mais hier trop de travail et aujourd'hui cours toute la journée.
Alors j'ai suivi la procédure de combofix, j'ai enregistré la cible sur le bureau, je l'ai rennomé. Et là, je double clic et ça ne réagit pas -__-'
Après je me suis dis que peut-être c'est parce que je n'ai pas désactivé les protections résidentes, mais j'ai suivi le tutoriel et il se trouve que j'ai pas de protections résidentes avec avast ...

Là j'ai vraiment l'impression d'avoir la poisse ...

Safius · Answer

Alors avec le premier lien, je l'enregistre et quand je l'éxécute ça ne réagit TOUJOURS pas =(
J'essaye avec le 2ème lien, et là c'est encore mieux, "page introuvable" -_-

Safius · Answer

Au moins ça c'est bon ^^ :

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\lopR.txt: trouvé !
C:\Lop SD: trouvé !
C:\Documents and Settings\Em\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Em\Mes documents\LopSD.exe: trouvé !
C:\Documents and Settings\Em\Mes documents\SmitFraudFix.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Em\Mes documents\LopSD.exe: supprimé !
C:\Documents and Settings\Em\Mes documents\SmitFraudFix.exe: supprimé !
C:\lopR.txt: supprimé !
C:\Documents and Settings\Em\Bureau\hijackthis.log: supprimé !
C:\Lop SD: supprimé !

Safius · Answer

J'aimerai tellement ne pas dire ça mais : la page est introuvable :(
C'est à cause d'anitivirus 2009 que je ne peux jamais aller sur tes liens ?

Safius · Answer

Installé =D
Je le lance ?

Safius · Answer

C'est bon, j'ai fais la recherche. Voici le rapport :



----------------- FindyKill V4.700 ------------------

* User : Em - LSDBOT-III
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 13/11/08 par Chiquitine29
* Recherche effectuée à 20:05:24 le 13/11/2008
* Windows XP - Internet Explorer 6.0.2900.2180
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\ieexplorer32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\WINDOWS\system32\cidaemon.exe
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Em\Application Data 
 
 
»»»» Presence des fichiers dans C:\DOCUME~1\Em\LOCALS~1\Temp 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Em\Local Settings\Temporary Internet Files\Content.IE5 
 
 
--------------- [ Registre / Startup ] ----------------  
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    TkBellExe	REG_SZ	"C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
    KernelFaultCheck	REG_EXPAND_SZ	%systemroot%\system32\dumprep 0 -k
    NeroFilterCheck	REG_SZ	C:\WINDOWS\system32\NeroCheck.exe
    InCD	REG_SZ	C:\Program Files\Ahead\InCD\InCD.exe
    Adobe Reader Speed Launcher	REG_SZ	"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper	REG_SZ	"C:\Program Files\iTunes\iTunesHelper.exe"
    SPAMfighter Agent	REG_SZ	"C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    LClock	REG_SZ	lclock.exe
    MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    Mozilla Quick Launch	REG_SZ	"C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
    E06FDXRC_208828	REG_SZ	"C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
    Skype	REG_SZ	"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    Sony Ericsson PC Suite	REG_SZ	"C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
    27394083751167013977194930702190	REG_SZ	C:\Program Files\Antivirus 2009\av2009.exe
 
--------------- [ Registre / Clés infectieuses ] ----------------  
 
 
 
--------------- [ Etat / Services ] ---------------- 
 


+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

 Ndisuio - Type de démarrage = 3 
 
 Ip6Fw - Type de démarrage = 3 
 
 SharedAccess - Type de démarrage = 2 
 
 /!\ wuauserv - Type de démarrage = 4 
 
 /!\ wscsvc - Type de démarrage = 4 
 
 
 
--------------- [ Recherche dans supports amovibles] ----------------  
 
 
+- Informations : 

C: - Lecteur fixe

D: - Lecteur de CD-ROM

F: - Lecteur fixe

G: - Lecteur fixe

H: - Lecteur fixe

 
+- Contenu de l'autorun : D:\autorun.inf  

[Autorun]
Open=IW.EXE
Icon=IW.ico

 
+- presence des fichiers :  

Found ! [22/03/2005 09:00][-r-------] - D:\autorun.inf 
 
 
--------------- [ Registre / Mountpoint2 ] ----------------  
 
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{47192566-649a-11dc-863a-000ea642404f}\Shell\AutoRun\command   
 
 
------------------- ! Fin du rapport ! --------------------

hooligan63780 · Answer

re les gars  alors tjr pareil ??

hooligan63780 · Answer

je peux ésséyé un archet9 stp ?

Safius · Answer

Aaah enfin un truc de faiiit ! Merci encore ^^
Voilà le rapport de la suppression :



----------------- FindyKill V4.700 ------------------

* User : Em - LSDBOT-III
* executed from : C:\Program Files\FindyKill
* Update on 13/11/08 par Chiquitine29
* Start at 20:37:03 the 13/11/2008
* Windows XP - Internet Explorer 6.0.2900.2180
 
 
((((((((((((((( *** deleting *** ))))))))))))))))))  
 
 
--------------- [ Active Processes ] ----------------  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ctfmon.exe
 
--------------- [ Infected files / folders ] ----------------  
 
 
»»»» Supression files in C: 
 
 
»»»» Supression files in C:\WINDOWS 
 
 
»»»» Supression files in C:\WINDOWS\Prefetch 
 
 
»»»» Supression files in C:\WINDOWS\system32 
 
 
»»»» Supression files in C:\WINDOWS\system32\drivers 
 
 
»»»» Supression files in C:\Documents and Settings\Em\Application Data 
 
 
»»»» Supression files in C:\DOCUME~1\Em\LOCALS~1\Temp 
 
 
»»»» Supression files in C:\Documents and Settings\Em\Local Settings\Temporary Internet Files\Content.IE5 
 
Deleted ! - C:\Documents and Settings\Em\Local Settings\Temporary Internet Files\Content.IE5\YTYNKDMZ\D36439BF6AFB645FD2B2F5627D57B[1].jpg     
 
--------------- [  Registry / Infected keys ] ---------------- 
 
 
--------------- [ States / Restarting of services ] ---------------- 
 


+- Services : [ Auto=2 / Request=3 / Disable=4 ] 

 Ndisuio - Type of startup  = 3 
 
 Ip6Fw - Type of startup  = 2 
 
 SharedAccess - Type of startup  = 2 
 
 wuauserv - Type of startup  = 2 
 
 wscsvc - Type of startup  = 2 
 
 
---------------   [ Cleaning removable drives ] ----------------  
 
+- Informations : 

C: - Lecteur fixe

D: - Lecteur de CD-ROM

F: - Lecteur fixe

G: - Lecteur fixe

H: - Lecteur fixe

 
+- deleting files : 
 
Not deleted !! - D:\autorun.inf  
 
--------------- [ Registry / Moutpoint2 ] ----------------  
 
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{47192566-649a-11dc-863a-000ea642404f}\Shell\AutoRun\command  
 
--------------- [ Searching Cracks / Keygen ] ----------------  
 
C:\Documents and Settings\Em\Application Data\Real\RealOne Player\History\Crack Music (Feat. The Game).lnk
C:\Documents and Settings\Em\Favoris\Cracks - Serials
C:\Documents and Settings\Em\Favoris\Cracks - Serials\Astalavista.box.sk.url
 
 
---------------- ! End of report ! ------------------

hooligan63780 · Answer

lol on vera j'avais renommé SDfix  ca orait pu servir...

Safius · Answer

-______-"

"Page introuvable"

Je désespère ... Merci beaucoup de m'aider en tout cas ...

hooligan63780 · Answer

ésséye ca men pas archet9 lol 

Télécharges SDFix(renommé) sur ton bureau : 
http://sd-1.archive-host.com/membres/up/116615172019703188/F­orU.rar 

--->dezippe le 
--->Double-cliques sur SDFix.exe et choisis "Install" . 

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ ) 

Puis une fois l'installe faite, redémarre en mode sans échec . 

Comment aller en Mode sans échec : 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
--->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc : 
presse une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normal), après le chargement du Bureau presse une touche lorsque "Finished" s'affiche . 

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt". 
Poste ce dernier dans ta prochaine réponse.

hooligan63780 · Answer

men veux pas je voulé mettre ^^

Safius · Answer

Euh y a un bug pour le lien =s

hooligan63780 · Answer

ouai j'ai vu  mes lien ne s'affiche pas en entié ya un partit du lien que veux allezdansle lien compliquer lol refait le dans un nouvelle page (copié collé)

Safius · Answer

Oui j'avais déjà essayé mais ça me met toujours "objet non trouvé". Tu t'es peut-être trompé en l'écrivant, ou bien il marche bien chez toi ?

hooligan63780 · Answer

http://sd-1.archive-host.com/membres/up/116615172019703188/F­orU.rar

hooligan63780 · Answer

FORU quand tu remet le lien dans une nouvelle page sa te met ca F--oru.rar enleve les 2 tiré  et ca marchera (beug du lien) va faloir que je revoit mes lien moi

hooligan63780 · Answer

be j'ésszéye j'arrive pas mes lien ne se mette pas en entié ... occupe toi sen archet9 ^^ moi je revoit mes lien

Safius · Answer

Archet si y a pas de solutions. Est-ce que c'est préférable que je formatte mon ordi ?
Parce que si tu y arrive vraiment pas, ça sert à rien de trop te casser la tête, c'est pas grave je formaterai ... Même si c'est la dernière solution je pense...

hooligan63780 · Answer

tu peut ésséyé ca stp 

Télécharges GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) : 
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

!!Déconnectes toi et fermes tes application en cours !! 

Dézippes (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau . 

Ouvres le dossier Genproc : 
double-cliques sur GenProc.bat et laisses faire ... 

Une fois terminé, postes le contenu du rapport qui s'ouvre ... 

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html 

IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

hooligan63780 · Answer

demande a chiquine29 ou goeffray5 ...

hooligan63780 · Answer

archet9 je te signale que je suis la depuis aussi lgt que toi alors stp

Safius · Answer

Archet j'avais déjà fait le truc de hooligan. J'ai le rapport ci-dessous, est-ce que je continu avec ça ou je continue avec la personne plus compétente à qui tu vas demander ?

Voilà le "rapport" quand même :

Rapport GenProc 2.205 [1] le 13/11/2008 à 21:43:14,31 - Windows XP 

 
# Etape 1 / Télécharge :
 
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.
 Installe simplement le programme en exécutant le fichier téléchargé.

- SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri)
Double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1 ; il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (Andy Manchesta)  et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis "Install" pour l'extraire dans  C:\.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante "Em" 

 
# Etape 2/ 
 
 Relance Toolbar-S&D en double-cliquant sur son raccourci situé sur le Bureau.
 Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/ 
 
 Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 4/ 
  
 Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
 - Appuie sur Y pour commencer le processus de nettoyage.
 - Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche 
pour redémarrer, fais-le pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.br />- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.br />- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

# Etape 5/ 
 
 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
 
# Etape 6/ 
 
 Redémarre normalement et poste, dans la même réponse : 
 
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ; 
- Le contenu du fichier Report.txt; 
- Le contenu du rapport C:\TB.txt ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ; 

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

hooligan63780 · Answer

ben voilà un truc qui marche

Télécharges ToolBar S&D ( de Eric_71/Team IDN ) : 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages ) 

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !! 

* double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ... 
* Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil . 
* Choisis l'option 1 ( "recherche") et tapes "entrée" . 
* Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité 
de son contenu dans ta prochaine réponse ... 
( le rapport est en outre sauvegardé ici -> C:\TB.txt )

hooligan63780 · Answer

ai lieu de raconter des connerie  regarde le rapport  de ToolBar S&D

hooligan63780 · Answer

relance toolbar S&D tape 2

jorginho67 · Answer

Mouarffff....

Juste pour info' 

O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] 


([LSD_III] version pirate XP)

A lire => http://www.commentcamarche.net/faq/sujet 2981 windows j utilise une version piratee

Il se fera toujours infecté... aucune MàJ IE possible, c'est une porte grande ouverte aux infections.

Bon courage.

SAFIUS, fais suit les conseils de SKE69, il sait ce qu'il fait.

Safius · Answer

Ok super merci Ske =D
Je commence à faire tout ça dès maintenant =)

Safius · Answer

Voilà donc le 1er rapport :

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\TB.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\Toolbar SD: trouvé !
C:\Documents and Settings\Em\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\Em\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Em\Bureau\GenProc: trouvé !
C:\Documents and Settings\Em\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Program Files\FindyKill: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Em\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\Em\Bureau\ToolBarSD.exe: supprimé !
C:\TB.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\Toolbar SD: supprimé !
C:\Documents and Settings\Em\Bureau\GenProc: supprimé !
C:\Documents and Settings\Em\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Program Files\FindyKill: supprimé !

Safius · Answer

Voilà, après avoir fait les 3 étapes, le rapport de HiJack =) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:40, on 14/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fdivertissement%2fcelebrites%2fgalery%2fwentworth02.jpg%3f
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [E06FDXRC_208828] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [27394083751167013977194930702190] C:\Program Files\Antivirus 2009\av2009.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: Prayer.lnk = C:\HAD\PTW.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: gtguzx.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

sKe69 · Answer

Salut,


avant de pousuvre , as tu de disponible un PC sain et une clé USB : comme cela tu télécharge les outil depuis le PC sai pour les transférer sur le PC malade ... ( cela faciliterai grandement les choses ).


dis moi si c'est possible ? ...

Safius · Answer

Vraiment désolé, mais non, c'est le seul ordi disponible ...

sKe69 · Answer

On va essayer de faire avec ... ^^"


essayes ceci :

Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe 
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer 

- nom du fichier à rechercher :
-->tapes ou fais un copier coller de : TDSS

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"] 

OAD va maintenant rechercher le fichier. Laisses le travailler jusqu'à ce qu'il en ait terminé. 
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé. 

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegardes ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

Safius · Answer

Voilà le rapport :

 14/11/2008 ---- 20:19:49,92  

----------------------------------
§§§§§§ [TDSS] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"Service"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"DeviceDesc"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000\Control]
"ActiveService"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"Service"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"DeviceDesc"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"Service"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"DeviceDesc"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000\Control]
"ActiveService"="TDSSserv.sys"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

sKe69 · Answer

Bon ....


1- Refais la même chose avec : 
TDSSserv.sys

et postes moi le rapport obtenu ...


2- dis moi si tu peux  télécharger cet outil :

Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau. 

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Safius · Answer

Non, la page est introuvable :/

sKe69 · Answer

Postes moi quand même l'autre rapport demandé stp ...

Safius · Answer

Ah oui mince j'avais pas vu ... Le voilà :

 14/11/2008 ---- 20:41:10,73  

----------------------------------
§§§§§§ [TDSSserv.sys ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

sKe69 · Answer

1- tu peux recommencer ce dernier car tu as laisser un espace après le " .sys " :

---------------------------------- 
§§§§§§ [TDSSserv.sys ] §§§§§§ 
---------------------------------- 

il faut juste rentré TDSSserv.sys , si tu laisse un espace derrière , cela peux fausser la recherche ...



2- Puis dis moi si tu peux télécharger ce fichier :

Télécharges à présent The Avenger  :
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

sKe69 · Answer

...

Safius · Answer

Ouups :/
Voilààà :

 14/11/2008 ---- 20:51:38,70  

----------------------------------
§§§§§§ [TDSSserv.sys] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"Service"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"DeviceDesc"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS\0000\Control]
"ActiveService"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"Service"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"DeviceDesc"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"Service"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000]
"DeviceDesc"="TDSSserv.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000\Control]
"ActiveService"="TDSSserv.sys"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

sKe69 · Answer

Ok ... et pour la suite , ça donne quoi ? ...

sKe69 · Answer

Bon .... tu n'arrives pas à télécharger ceci : 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/


???

Safius · Answer

Désolé de n'avoir pas répondu mais mon ordi buggué... Euh non, le lien ne marche pas :/

sKe69 · Answer

Bien .. cela deviens problèmatique ...



1- Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- rendez toi sur ton PC :

ici -> C:\WINDOWS\System32

là , supprimes manuellement tous les fichiers ( peut importe l'extention ) commencant par TDSSxxxx.xxx ( majuscule ou minuscule ) .

et -> C:\WINDOWS\system32\drivers 
là tu supprimes manuellement ce fichier tdssserv.sys


une fois fais , dis  moi comment cela c'est passé ...

Safius · Answer

Alors, dans le système 32 j'ai aucun fichier qui commence par tdss, et dans drivers non plus :/
J'ai verifié plusieurs fois, et de toute façon c'est dans l'ordre alphabétique mais j'ai rien trouvé ...

sKe69 · Answer

re,

tu as bien fais ceci avant :

Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 


?

Safius · Answer

Oui j'ai tout fait ... La dernière chose c'est pas écrit totalement pareil, moi c'est "Masquer les fichiers protégés du système d'exploitation"
Mais je suppose que c'est ça, et c'est bien décoché ...

sKe69 · Answer

bon ...

une autre tentative avec cet outil .... dis moi si tu peux le télécharger :
Télécharges Killbox : https://www.generation-nt.com/killbox-telechargement-25430.html 
ou ici : https://www.clubic.com/telecharger-fiche181860-killbox.html




dis moi ....

Safius · Answer

Oui j'ai réussi à télécharger killbox. Il me faut le chemin du fichier à supprimer ...

jfkpresident · Answer

Lut'

sKe69 · Answer

Ne fais rien pour le moment :


1- question : lorsque je t'ai demander de télécharger tout ces outil , qu'est-ce qui foire : le téléchargement , ou l'outil lui même une fois téléchargé ? ...



2- essayes de télécharger celui-ci maintenant :
Télécharge Catchme de Gmer sur le bureau :
http://www2.gmer.net/catchme.php

mais ne fais rien si c'est Ok .... dis moi juste si c'est bon ...

Safius · Answer

Tu parles des logiciels ? Si c'est ça, c'est simplement que le lien que tu me donnais ne marchait pas, ça me mettait "Page introuvable" à chaque fois ...
Et c'est encore le cas pour ce lien :/

sKe69 · Answer

merci pour ta réponse ... ne touche plus au PC , laisses le allumer et je te donne la suite très rapidement ...

Safius · Answer

OK

sKe69 · Answer

bien ... une  1er tentative pour mettre un coup au virus ...


dans l'ordre :


1- Ouvre le bloc-notes (menu démarrer/accessoire/bloc-note) et fais un copier coller de ce qui est en citation en gras ci-dessous ( copie tout d'un trait ) : 

 
REGEDIT4 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TD­SSSERV.SYS]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]


Sauvegarder le document sur ton bureau : 
Vas sur "fichier"/"enregistrer sous" : 
--->Nom du fichier, tu tapes : fix.reg 
Type de fichier, tu choisis : "tous les fichiers" 
cliques sur "enregistrer" 

-!!Déconnectes toi et fermes toute tes applications en cours !! 

Doubles clique sur fix.reg qui est sur ton bureau => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui"  





2- Doubles clique sur killbox.exe (Pocket Killbox) 

sélectionnes entièrement les lignes ci-dessous :
 

C:\WINDOWS\system32\drivers	dssserv.sys
C:\WINDOWS\system32	dssadw.dll
C:\WINDOWS\system32	dssinit.dll
C:\WINDOWS\system32	dssl.dll
C:\WINDOWS\system32	dsslog.dll
C:\WINDOWS\system32	dssmain.dll
C:\WINDOWS\system32	dssservers.dat
C:\WINDOWS\system32\drivers\TDSSmqlt.sys
C:\WINDOWS\system32\TDSSbubv.log 
C:\WINDOWS\system32\TDSShrxm.dll 
C:\WINDOWS\system32\TDSSlxwp.dll 
C:\WINDOWS\system32\TDSSmtvd.dat 
C:\WINDOWS\system32\TDSSnmxh.log 
C:\WINDOWS\system32\TDSSoiqt.dll 
C:\WINDOWS\system32\TDSSrhyp.dll
C:\WINDOWS\system32\TDSSvkql.dll 
C:\WINDOWS\system32\TDSSxfum.dll
C:\WINDOWS\system32\drivers\TDSSmqlt.sys
C:\WINDOWS\system32\TDSSoiqt.dll
C:\WINDOWS\system32\TDSSmtvd.dat
C:\WINDOWS\system32\TDSShrxm.dll
C:\WINDOWS\system32\TDSSvkql.dll
C:\WINDOWS\system32\TDSSxfum.dll
C:\WINDOWS\system32\TDSSlxwp.dll
C:\WINDOWS\system32\TDSSnmxh.log
C:\WINDOWS\system32\TDSSsahc.dll
C:\WINDOWS\system32\TDSSrhyp.dll
C:\WINDOWS\system32\TDSSkkai.log
C:\WINDOWS\system32\TDSSbubv.log


---> et tu fais clic droit / copier 

Ouvres killbox :
-colles ce que tu à sélectionné dans l'ancadré " Full Path ..." 
- Sélectionnes "delete on reboot" 
- Cliques sur le menu "File" -> "Past from clip board" 
- Cliques sur All Files 
- Cliques sur la croix rouge et et blanche 
- Réponds yes et laisse redémarrer ton pc. 
(N'hésites pas à consulter l'Aide killbox )

Tuto en image ( merci balltrap34 ) :
http://perso.orange.fr/rginformatique/section%20virus/killbox.htm


NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur 

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log 
Postes le rapport ici et attends la suite ...

Safius · Answer

Aloors, j'ai tout bien fait copié collé dans bloc note, enregistré en tant que fix.reg sur mon bureau. Quand je double clique sur l'icone y a bien la même question "Voulez-vous vraiment [...]", je répond oui et là y a une fenetre avec une croix rouge qui me met :
"Impossible d'importer C:\Documents and Settings\Em\Bureau\fix.reg : Le fichier spécifié n'est pas un script du Registre.
Vous pouvez uniquement importer des fichiers du registre binaire à partir de l'éditeur du Registre"


... =s

Safius · Answer

Ah naaan j'ai rien dit, jdois continuer sur un autre logiciel donc c'est bon ! vais faire ça tout de suite!

sKe69 · Answer

bon ... laisses tomber cette manipe pour le moment ...On a d'autre chose en réserve ( et oui , on est un paquet à suivre ton prb ... ^^ )


1- je voudrais que tu ré-essayes de télécharger combofix exactement ainsi :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 
Fais comme indiqué pour le télécharger :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tapes CFix et valides . 

- le renommage au téléchargement est primordial pour contrer le virus, sinon l'outil sera inutilisable -


dis moi seulement si tu es arrivés à le télécharger ... mais ne l'utilise surtout pas pour le moment ....


2- ensuite , cet autre outil :

Télécharges Brute Force Uninstaller (de Merijn) ici : http://www.merijn.org/files/bfu.zip

pareil ... dis moi si tu as pu le télécharger ...

archet9 · Answer

...}

Safius · Answer

Tous les deux téléchargés ! =D

Safius · Answer

1. Oui j'ai fait killbox :/ Mais mon ordi ne s'est pas rallumé ... Et un moment j'ai fait un truc qui n'était pas dans ta liste, mais ça me semblait logique, avant dappuyer sur la croix, ce que j'avais écris dans le champs "Full path" avait disparu, donc yavait plus de fichier à supprimer, j'ai juste recoller une deuxième fois ce que j'avais collé au début.

2. Comment ça passé ? Y a toujours le message d'erreur qui s'affiche ...

sKe69 · Answer

Postes moi le(s) rapport de killBox:

relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log 
Postes le rapport ici et attends la suite ...

Safius · Answer

Voilà :

Pocket Killbox version 2.0.0.881
Running on Windows XP as Em(Administrator)
was started @ vendredi, novembre 14, 2008, 10:20 PM
 
Killbox Closed(Exit) @ 11:13:42 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as Em(Administrator)
was started @ vendredi, novembre 14, 2008, 11:19 PM
 
Killbox Closed(Exit) @ 11:19:54 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as Em(Administrator)
was started @ vendredi, novembre 14, 2008, 11:30 PM
 
Killbox Closed(Exit) @ 11:31:10 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as Em(Administrator)
was started @ vendredi, novembre 14, 2008, 11:31 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\drivers	dssserv.sys

 
PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:32:22 PM
Killbox Closed(Exit) @ 11:34:14 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as Em(Administrator)
was started @ vendredi, novembre 14, 2008, 11:43 PM
 



Merci de t'attarder sur mon cas, dis moi surtout quand tu décide d'arrêter pour qu'on reprenne plus tard.

sKe69 · Answer

Bon ... on ne va pas lacher l'affaire maintenant ...


fais ceci :


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment  : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix pour analyse ...

Safius · Answer

Le tuto ne marche pas (page introuvablle) donc j'ai besoin de ton aide ... J'ai avast comme antivirus, et je vois pas où c'est pour le désactiver ...
C'est mettre au niveau minimum la protection résidente ?

sKe69 · Answer

C'est mettre au niveau minimum la protection résidente 

non , c'est la couper ... clique droit sur l'icone d'avast présent dans la barre des tache et tu clique sur "désactiver la protection résidente ...."


Pour le pare-feu : vas dans panneau de configuration / pare-feu windows -> choisi l'option " désactiver le pare feu " et valide ...


ensuite tu peux fais la suite ....

Safius · Answer

Y a toujouuurs un truc qui doit déconner -_-
Quand je double clique sur combofix, ça ne réagit pas. ça me met la fenêtre noire de C:\ mais elle disparait au bout d'une seconde même pas ...

sKe69 · Answer

Cliques droit sur l'icone de Combofix -> choisis "renommer" et là tu mets exactement ceci : 
ComboFix.exe et valides ...


ensuite re-essaye de le lancer pour voir .... Si cela ne marche pas , dis le moi ....

Safius · Answer

Toujours pareil, la fenêtre disparait au bout d'une seconde ...

sKe69 · Answer

supprime ce combofix ( directe poubelle ) ... je te fais parvenir la suite ....

Safius · Answer

Oki. Supprimé.

sKe69 · Answer

bien ... télécharges Safius.exe ici :
https://www.sendspace.com/file/yf6xle  ( en bas de la page ) 

( ce n'est autre que combofix renommé ) 


tu l'enregistres sur ton bureau et reprends la manipe Combofix comme je te lai indiqué ...


j'attends donc le rapport obtenu ...  ;)

Safius · Answer

Hallelujaaah ! xD Voilà le rapport ! : ComboFix 08-11-12.02 - Em 2008-11-15 0:25:40.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1256.966.1036.18.494 [GMT 1:00] [COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\Antivirus 2009 c:\program files\Antivirus 2009\av2009.exe c:\windows\system32\Cache c:\windows\system32\cokpuppm.dll c:\windows\system32\drivers\TDSSofxh.sys c:\windows\system32\Drivers\TDSSpaxt.sys c:\windows\system32\efcCtUOF.dll c:\windows\system32\efdolwfq.ini c:\windows\system32\ieupdates.exe c:\windows\system32\iuwebdom.ini c:\windows\system32\jecwubjg.ini c:\windows\system32\mlJYpQiG.dll c:\windows\system32 nnmmjJY.dll c:\windows\system32 qsfqqed.ini c:\windows\system32\qoMdcAPh.dll c:\windows\system32\TDSSbivk.log c:\windows\system32\TDSSbubx.log c:\windows\system32\TDSScfub.dll c:\windows\system32\TDSSfpmp.dll c:\windows\system32\TDSSkpjp.log c:\windows\system32\TDSSnmxh.dll c:\windows\system32\TDSSnrsr.dat c:\windows\system32\TDSSnrsr.dll c:\windows\system32\TDSSoexh.dll c:\windows\system32\TDSSosvd.dat c:\windows\system32\TDSSosvd.dll c:\windows\system32\TDSSrhym.dll c:\windows\system32\TDSSriqp.dll c:\windows\system32\TDSSsbhc.dll c:\windows\system32\TDSStkdv.dll c:\windows\system32\TDSStkdv.log c:\windows\system32\TDSSvvbi.dll c:\windows\system32\urqRHxVM.dll c:\windows\system32\winsrc.dll.tmp c:\windows\system32\wvUoMdCr.dll c:\windows\system32\yjyiteuw.ini c:\windows\system32\ytebjfnp.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_TDSSSERV.SYS -------\Legacy_TDSSSERV.SYS -------\Legacy_IPRIP -------\Service_Iprip ((((((((((((((((((((((((( Files Created from 2008-10-14 to 2008-11-14 ))))))))))))))))))))))))))))))) . 2008-11-14 22:20 . 2008-11-14 22:20 d-------- C:\!KillBox 2008-11-14 19:38 . 2008-11-14 19:38 d-------- c:\program files\Trend Micro 2008-11-14 19:28 . 2008-11-14 19:28 d-------- c:\program files\CCleaner 2008-11-13 21:43 . 2008-11-13 21:43 4,923 --a------ C:\GenProc.html 2008-11-11 19:14 . 2008-11-11 19:14 d-------- c:\documents and settings\Em\Application Data\Malwarebytes 2008-11-11 19:14 . 2008-11-11 19:14 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-11-09 16:45 . 2008-11-11 17:08 343 --ahs---- c:\windows\system32\ISAdcMoq.ini 2008-11-09 16:23 . 2008-11-09 16:23 d-------- c:\program files\IBEAD 2008-11-09 16:16 . 2008-11-09 16:16 d-------- c:\windows\STK016 2008-11-09 16:16 . 2008-11-11 14:28 d-------- c:\program files\STK016_V2.01 2008-11-09 16:16 . 2003-10-04 00:08 99,476 --a------ c:\windows\system32\drivers\STK016W2.sys 2008-11-09 16:16 . 2003-10-03 23:46 40,960 --a------ c:\windows\system32\STK016P.ax 2008-11-09 16:16 . 2003-10-04 00:08 32,140 --a------ c:\windows\system32\drivers\STK016W1.sys 2008-11-09 12:45 . 2003-08-22 05:53 34,318 --------- c:\windows\system32\drivers\StMp3Rec.sys 2008-11-07 22:32 . 1999-08-04 12:00 1,294,336 --a------ c:\windows\system32\MGIIpl2A6.dll 2008-11-07 22:32 . 1999-08-04 12:00 1,261,568 --a------ c:\windows\system32\MGIIpl2M6.dll 2008-11-07 22:32 . 1999-08-04 12:00 1,228,800 --a------ c:\windows\system32\MGIIpl2M5.dll 2008-11-07 22:32 . 1999-08-04 12:00 1,105,920 --a------ c:\windows\system32\MGIIpl2P6.dll 2008-11-07 22:32 . 1999-08-04 12:00 1,052,672 --a------ c:\windows\system32\MGIIpl2P5.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-14 23:29 --------- d-----w c:\program files\SPAMfighter 2008-11-14 23:11 --------- d-----w c:\documents and settings\Em\Application Data\Skype 2008-11-14 20:02 --------- d-----w c:\documents and settings\Em\Application Data\EoRezo 2008-11-14 18:02 --------- d-----w c:\documents and settings\Em\Application Data\skypePM 2008-11-11 13:06 --------- d-----w c:\documents and settings\Em\Application Data\KindOpenHole 2008-11-09 15:23 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-07 21:31 --------- d-----w c:\program files\MGI 2008-11-07 21:31 --------- d-----w c:\program files\Fichiers communs\MGI Shared 2008-09-27 19:04 --------- d-----w c:\program files\KindOpenHole 2008-09-24 19:59 --------- d-----w c:\documents and settings\Em\Application Data\Sony 2008-09-24 19:59 --------- d-----w c:\documents and settings\All Users\Application Data\Sony 2008-09-24 19:55 --------- d-----w c:\program files\Sony Ericsson 2008-09-24 19:55 --------- d-----w c:\program files\Sony 2008-09-24 19:44 --------- d-----w c:\program files\Avanquest update 2008-09-24 19:34 --------- d-----w c:\documents and settings\Em\Application Data\Sony Setup 2008-09-24 19:29 --------- d-----w c:\documents and settings\All Users\Application Data\BVRP Software 2008-09-24 19:28 --------- d-----w c:\documents and settings\All Users\Application Data\Sony Ericsson 2008-09-24 19:27 --------- d-----w c:\documents and settings\Em\Application Data\InstallShield 2008-09-14 15:43 --------- d-----w c:\program files\AVIConverter 2008-09-14 15:42 --------- d-----w c:\program files\Consumer Update Firmware 2008-04-25 21:25 339,784 ----a-w c:\documents and settings\Em\Application Data\GDIPFONTCACHEV1.DAT 2008-02-18 18:13 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat 2008-01-29 17:38 72 ----a-w c:\program files\MultiTransefind.ini 2007-06-23 12:47 107 ----a-w c:\windows\system32\config\systemprofile\user.bat 2007-06-23 12:47 107 ----a-w c:\documents and settings\LSDBOT-III\ASPNET\user.bat 2007-06-23 12:47 107 ----a-w c:\documents and settings\Em\user.bat 2007-06-23 12:47 107 ----a-w c:\documents and settings\Default User\user.bat 2000-10-23 08:37 122,880 ----a-r c:\windows\inf\AGFA\Message.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "Mozilla Quick Launch"="c:\program files\Netscape\Netscape\Netscp.exe" [2003-06-24 568096] "E06FDXRC_208828"="c:\program files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" [2005-06-04 301776] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-02-01 21898024] "Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448] "LClock"="lclock.exe" [2004-12-08 c:\windows\LClock.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-06-23 151597] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-05-13 1397760] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-31 385024] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048] "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2008-07-29 321672] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "LSD_III"="c:\windows\LSD\end.cmd" [2002-12-22 2176] "tscuninstall"="c:\windows\system32 scupgrd.exe" [2004-08-04 44544] c:\documents and settings\Em\Menu D‚marrer\Programmes\D‚marrage\ Prayer.lnk - c:\had\PTW.EXE [2007-06-24 2432512] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-01-19 122880] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=gtguzx.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= c:\progra~1\FICHIE~1\Ulead Systems\Vio\Dvacm.acm "vidc.dvsd"= dvc.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\system32\mqsvc.exe"= "c:\Program Files\Mozilla Firefox\firefox.exe"= "c:\Program Files\Real\RealOne Player\realplay.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe"= "c:\Program Files\Skype\Phone\Skype.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 BT848;AV Basic WDM Video Capture;c:\windows\system32\drivers\BT848.sys [2002-01-27 252276] R2 BTXBAR;AV Basic WDM Crossbar;c:\windows\system32\drivers\BTXBAR.sys [2002-01-28 12288] R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [2008-07-29 184968] S3 a016bus;Sony Ericsson Device A016 driver (WDM);c:\windows\system32\DRIVERS\a016bus.sys [2008-01-18 83880] S3 a016mdfl;Sony Ericsson Device A016 USB WMC Modeme Filter;c:\windows\system32\DRIVERS\a016mdfl.sys [2008-01-18 15016] S3 a016mdm;Sony Ericsson Device A016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\a016mdm.sys [2008-01-18 110504] S3 a016mgmt;Sony Ericsson Device A016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\a016mgmt.sys [2008-01-18 104488] S3 a016obex;Sony Ericsson Device A016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\a016obex.sys [2008-01-18 100648] S3 DCamUSBSTK016;STK016 Camera;c:\windows\system32\DRIVERS\STK016W2.sys [2003-10-04 99476] . . ------- Supplementary Scan ------- . FireFox -: Profile - c:\documents and settings\Em\Application Data\Mozilla\Firefox\Profiles\gllxb1gi.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-15 00:29:01 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . c:\windows\system32\msdtc.exe c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe c:\windows\system32\inetsrv\inetinfo.exe c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe c:\windows\system32 cpsvcs.exe c:\windows\system32\snmp.exe c:\program files\Analog Devices\SoundMAX\SMAgent.exe c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\mqsvc.exe c:\windows\system32\mqtgsvc.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\program files\iPod\bin\iPodService.exe c:\windows\system32\msiexec.exe c:\program files\Skype\Plugin Manager\skypePM.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Completion time: 2008-11-15 0:31:36 - machine was rebooted ComboFix-quarantined-files.txt 2008-11-14 23:31:30 Pre-Run: 45,151,391,744 octets libres Post-Run: 45,075,279,872 octets libres 216

sKe69 · Answer

Vu ... j'analyse tout cela et te dis ...


en attendant , essayes de téléchager le setup De Malwarebytes ici :

ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php


et dis moi si cela à marché maintenant ...

Safius · Answer

Malware téléchargé =D

sKe69 · Answer

Bien ... quelques vérifes avant de poursuivre :

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
c:\windows\system32\ISAdcMoq.ini 

Cliques sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
c:\windows\system32\MGIIpl2M5.dll

postes moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Safius · Answer

Jcrois bien qu'Antivirus 2009 ait disparu de mon ordi !
J'attends ta confirmation ...

Safius · Answer

Je poste un message pour chaque rapport c'est mieux !

Pour c:\windows\system32\ISAdcMoq.ini :

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.11.14.3	2008.11.14	-
AntiVir	7.9.0.31	2008.11.14	-
Authentium	5.1.0.4	2008.11.14	-
Avast	4.8.1281.0	2008.11.14	-
AVG	8.0.0.199	2008.11.14	-
BitDefender	7.2	2008.11.15	-
CAT-QuickHeal	10.00	2008.11.13	-
ClamAV	0.94.1	2008.11.14	-
DrWeb	4.44.0.09170	2008.11.14	-
eSafe	7.0.17.0	2008.11.13	-
eTrust-Vet	31.6.6209	2008.11.14	-
Ewido	4.0	2008.11.14	-
F-Prot	4.4.4.56	2008.11.14	-
F-Secure	8.0.14332.0	2008.11.14	-
Fortinet	3.117.0.0	2008.11.14	-
GData	19	2008.11.15	-
Ikarus	T3.1.1.45.0	2008.11.14	-
K7AntiVirus	7.10.525	2008.11.14	-
Kaspersky	7.0.0.125	2008.11.15	-
McAfee	5434	2008.11.14	-
Microsoft	1.4104	2008.11.15	-
NOD32	3614	2008.11.14	-
Norman	5.80.02	2008.11.14	-
Panda	9.0.0.4	2008.11.14	-
PCTools	4.4.2.0	2008.11.14	-
Prevx1	V2	2008.11.15	-
Rising	21.03.42.00	2008.11.14	-
SecureWeb-Gateway	6.7.6	2008.11.14	-
Sophos	4.35.0	2008.11.14	-
Sunbelt	3.1.1801.2	2008.11.14	-
Symantec	10	2008.11.15	-
TheHacker	6.3.1.1.152	2008.11.13	-
TrendMicro	8.700.0.1004	2008.11.14	-
VBA32	3.12.8.9	2008.11.14	-
ViRobot	2008.11.14.1468	2008.11.14	-
VirusBuster	4.5.11.0	2008.11.14	-
Information additionnelle
File size: 343 bytes
MD5...: c9b1d526be0f6a0b61ec36455962b0f1
SHA1..: 78ea99f4c83c62e61e7e3b4e9c2c7185ed8f46ce
SHA256: 37a2f5c3bbd63c096b338832aee3c5ecf6b0e0fd6b887bdc7fd9848ac1c5c605
SHA512: 925506ae882e1a8ed46b25fee5f4b190f6f3dbee18b2c97b30912ac616fec664
b030a496cb6ef24b617ebbc56951b4ffc9b7d331ce6fcf02041f52db41bcadf8
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

Safius · Answer

Le 2ème est en cours d'éxecution. Je lutte avec mes yeux pour ne pa m'endormir xD Après celui-là on pourrait finir demain ? A moins qu'il ne reste plus grand chose à faire ?
C'est juste que j'ai cours demain matin ^^

sKe69 · Answer

une dernière manipe après et ensuite on porusuit demain ^^

Safius · Answer

Voilà pour le 2ème :



Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.11.14.3	2008.11.14	-
AntiVir	7.9.0.31	2008.11.14	-
Authentium	5.1.0.4	2008.11.14	-
Avast	4.8.1281.0	2008.11.14	-
AVG	8.0.0.199	2008.11.14	-
BitDefender	7.2	2008.11.15	-
CAT-QuickHeal	10.00	2008.11.13	-
ClamAV	0.94.1	2008.11.14	-
DrWeb	4.44.0.09170	2008.11.14	-
eSafe	7.0.17.0	2008.11.13	-
eTrust-Vet	31.6.6210	2008.11.14	-
Ewido	4.0	2008.11.14	-
F-Prot	4.4.4.56	2008.11.14	-
F-Secure	8.0.14332.0	2008.11.14	-
Fortinet	3.117.0.0	2008.11.14	-
GData	19	2008.11.15	-
Ikarus	T3.1.1.45.0	2008.11.14	-
K7AntiVirus	7.10.525	2008.11.14	-
Kaspersky	7.0.0.125	2008.11.15	-
McAfee	5434	2008.11.14	-
Microsoft	1.4104	2008.11.15	-
NOD32	3614	2008.11.14	-
Norman	5.80.02	2008.11.14	-
Panda	9.0.0.4	2008.11.14	-
PCTools	4.4.2.0	2008.11.14	-
Prevx1	V2	2008.11.15	-
Rising	21.03.42.00	2008.11.14	-
SecureWeb-Gateway	6.7.6	2008.11.14	-
Sophos	4.35.0	2008.11.14	-
Sunbelt	3.1.1801.2	2008.11.14	-
Symantec	10	2008.11.15	-
TheHacker	6.3.1.1.152	2008.11.13	-
TrendMicro	8.700.0.1004	2008.11.14	-
VBA32	3.12.8.9	2008.11.14	-
ViRobot	2008.11.14.1468	2008.11.14	-
VirusBuster	4.5.11.0	2008.11.14	-
Information additionnelle
File size: 1228800 bytes
MD5...: e2eda5e4843c03e046e546a6a9602a3d
SHA1..: 28e7baf69de012673e717489dc6e37c6c0ef2896
SHA256: 1eaaa7e9ace909bed72a630623a9bbd0943ad6bbc4d0fecbb0f4a3c1924c7bc8
SHA512: bd9f5e06fa7d86842353cddf8b5f0daac5e1a3132340ac2f120a9da589addab5
90ac44a7506c7f4fdc545a506379eddd76c46de29f85d070606aa13c980028de
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6800150b
timedatestamp.....: 0x36d73541 (Fri Feb 26 23:58:57 1999)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x116978 0x117000 6.44 cabbe243cb744d0af43bb5aa1516cf08
CODE 0x118000 0x2354 0x3000 5.22 92220f8d5850b3912bac6128323f7b33
.rdata 0x11b000 0x7f7 0x1000 3.29 a2eda1decea58d924a7041c39a512ae7
.data 0x11c000 0x36f0 0x4000 3.77 134d5191694be6889ebe07667ffc683f
.data1 0x120000 0x56a0 0x6000 4.45 47f181e9372d40ec60cd20bb4deb922e
DATA 0x126000 0x608 0x1000 1.75 b8c65cf4c43bb27727353fec39fac9e3
.reloc 0x127000 0x40cc 0x5000 5.38 7092df07d15c765a9f7298f04dc58297

( 2 imports )
> MSVCRT.dll: free, _initterm, _adjust_fdiv, malloc, exit, _control87, floor, ceil, memmove
> KERNEL32.dll: TlsGetValue, TlsSetValue, FatalAppExitA, LocalAlloc, TlsAlloc, LocalFree, TlsFree

( 64 exports )
iplAdd, iplAddS, iplAllocateImage, iplAlphaComposite, iplAlphaCompositeC, iplBlur, iplComputeHisto, iplContrastStretch, iplConvert, iplConvolve2D, iplConvolveSep2D, iplCopy, iplCreateConvKernel, iplCreateConvKernelChar, iplCreateImageHeader, iplCreateROI, iplCreateTileInfo, iplDeallocate, iplDecimate, iplDeleteConvKernel, iplDeleteROI, iplDeleteTileInfo, iplError, iplErrorStr, iplExchange, iplFixedFilter, iplFree, iplGetAffineBound, iplGetAffineQuad, iplGetAffineTransform, iplGetBilinearBound, iplGetBilinearQuad, iplGetBilinearTransform, iplGetErrMode, iplGetErrStatus, iplGetLibVersion, iplGetRotateShift, iplHistoEqualize, iplMalloc, iplMaxFilter, iplMedianFilter, iplMinFilter, iplMultiplySScale, iplMultiplyScale, iplRedirectError, iplResize, iplRotate, iplSet, iplSetBorderMode, iplSetErrMode, iplSetErrStatus, iplSetROI, iplSetTileInfo, iplShear, iplSubtract, iplSubtractS, iplWarpAffine, iplWarpBilinear, iplWarpBilinearQ, iplZoom, ipldMalloc, ipliMalloc, iplsMalloc, iplwMalloc
ThreatExpert info: https://www.symantec.com?md5=e2eda5e4843c03e046e546a6a9602a3d

Safius · Answer

Jpeux y aller ou pas alors ? ^^

sKe69 · Answer

Voilà :


1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


Registry:: 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=""

File:: 
c:\windows\system32\ISAdcMoq.ini


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



postes moi tout cela et on continura demain ... =)

Safius · Answer

Désolé, mais je pensais que tu étais parti hier ... Alors, j'ai glissé l'icone sur Safius.exe puisque c'est ça qui correspond à Combofix je crois ... Et voilà le rapport (je poste clui de HiJack dans un message suivant) : ComboFix 08-11-12.02 - Em 2008-11-15 12:21:51.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1256.966.1036.18.422 [GMT 1:00] Running from: c:\documents and settings\Em\Bureau\Safius.exe Command switches used :: c:\documents and settings\Em\Bureau\CFScript.txt * Created a new restore point [COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR] FILE :: c:\windows\system32\ISAdcMoq.ini . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\ISAdcMoq.ini . ((((((((((((((((((((((((( Files Created from 2008-10-15 to 2008-11-15 ))))))))))))))))))))))))))))))) . 2008-11-14 22:20 . 2008-11-14 22:20 d-------- C:\!KillBox 2008-11-14 19:38 . 2008-11-14 19:38 d-------- c:\program files\Trend Micro 2008-11-14 19:28 . 2008-11-14 19:28 d-------- c:\program files\CCleaner 2008-11-13 21:43 . 2008-11-13 21:43 4,923 --a------ C:\GenProc.html 2008-11-11 19:14 . 2008-11-11 19:14 d-------- c:\documents and settings\Em\Application Data\Malwarebytes 2008-11-11 19:14 . 2008-11-11 19:14 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-11-09 16:23 . 2008-11-09 16:23 d-------- c:\program files\IBEAD 2008-11-09 16:16 . 2008-11-09 16:16 d-------- c:\windows\STK016 2008-11-09 16:16 . 2008-11-11 14:28 d-------- c:\program files\STK016_V2.01 2008-11-09 16:16 . 2003-10-04 00:08 99,476 --a------ c:\windows\system32\drivers\STK016W2.sys 2008-11-09 16:16 . 2003-10-03 23:46 40,960 --a------ c:\windows\system32\STK016P.ax 2008-11-09 16:16 . 2003-10-04 00:08 32,140 --a------ c:\windows\system32\drivers\STK016W1.sys 2008-11-09 12:45 . 2003-08-22 05:53 34,318 --------- c:\windows\system32\drivers\StMp3Rec.sys 2008-11-07 22:32 . 1999-08-04 12:00 1,294,336 --a------ c:\windows\system32\MGIIpl2A6.dll 2008-11-07 22:32 . 1999-08-04 12:00 1,261,568 --a------ c:\windows\system32\MGIIpl2M6.dll 2008-11-07 22:32 . 1999-08-04 12:00 1,228,800 --a------ c:\windows\system32\MGIIpl2M5.dll 2008-11-07 22:32 . 1999-08-04 12:00 1,105,920 --a------ c:\windows\system32\MGIIpl2P6.dll 2008-11-07 22:32 . 1999-08-04 12:00 1,052,672 --a------ c:\windows\system32\MGIIpl2P5.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-15 11:12 --------- d-----w c:\program files\SPAMfighter 2008-11-15 11:11 --------- d-----w c:\documents and settings\Em\Application Data\skypePM 2008-11-15 11:11 --------- d-----w c:\documents and settings\Em\Application Data\Skype 2008-11-14 20:02 --------- d-----w c:\documents and settings\Em\Application Data\EoRezo 2008-11-11 13:06 --------- d-----w c:\documents and settings\Em\Application Data\KindOpenHole 2008-11-09 15:23 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-07 21:31 --------- d-----w c:\program files\MGI 2008-11-07 21:31 --------- d-----w c:\program files\Fichiers communs\MGI Shared 2008-09-27 19:04 --------- d-----w c:\program files\KindOpenHole 2008-09-24 19:59 --------- d-----w c:\documents and settings\Em\Application Data\Sony 2008-09-24 19:59 --------- d-----w c:\documents and settings\All Users\Application Data\Sony 2008-09-24 19:55 --------- d-----w c:\program files\Sony Ericsson 2008-09-24 19:55 --------- d-----w c:\program files\Sony 2008-09-24 19:44 --------- d-----w c:\program files\Avanquest update 2008-09-24 19:34 --------- d-----w c:\documents and settings\Em\Application Data\Sony Setup 2008-09-24 19:29 --------- d-----w c:\documents and settings\All Users\Application Data\BVRP Software 2008-09-24 19:28 --------- d-----w c:\documents and settings\All Users\Application Data\Sony Ericsson 2008-09-24 19:27 --------- d-----w c:\documents and settings\Em\Application Data\InstallShield 2008-04-25 21:25 339,784 ----a-w c:\documents and settings\Em\Application Data\GDIPFONTCACHEV1.DAT 2008-02-18 18:13 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat 2008-01-29 17:38 72 ----a-w c:\program files\MultiTransefind.ini 2007-06-23 12:47 107 ----a-w c:\windows\system32\config\systemprofile\user.bat 2007-06-23 12:47 107 ----a-w c:\documents and settings\LSDBOT-III\ASPNET\user.bat 2007-06-23 12:47 107 ----a-w c:\documents and settings\Em\user.bat 2007-06-23 12:47 107 ----a-w c:\documents and settings\Default User\user.bat 2000-10-23 08:37 122,880 ----a-r c:\windows\inf\AGFA\Message.exe . ((((((((((((((((((((((((((((( snapshot@2008-11-15_ 0.30.59.56 ))))))))))))))))))))))))))))))))))))))))) . - 2008-11-14 23:29:06 220,168 ----a-w c:\windows\system32\inetsrv\MetaBase.bin + 2008-11-15 11:11:02 220,168 ----a-w c:\windows\system32\inetsrv\MetaBase.bin + 2008-11-15 11:11:03 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_250.dat + 2008-11-15 11:11:09 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7a4.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "Mozilla Quick Launch"="c:\program files\Netscape\Netscape\Netscp.exe" [2003-06-24 568096] "E06FDXRC_208828"="c:\program files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" [2005-06-04 301776] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-02-01 21898024] "Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448] "LClock"="lclock.exe" [2004-12-08 c:\windows\LClock.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-06-23 151597] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-05-13 1397760] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-31 385024] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048] "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2008-07-29 321672] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "LSD_III"="c:\windows\LSD\end.cmd" [2002-12-22 2176] "tscuninstall"="c:\windows\system32 scupgrd.exe" [2004-08-04 44544] c:\documents and settings\Em\Menu D‚marrer\Programmes\D‚marrage\ Prayer.lnk - c:\had\PTW.EXE [2007-06-24 2432512] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-01-19 122880] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= c:\progra~1\FICHIE~1\Ulead Systems\Vio\Dvacm.acm "vidc.dvsd"= dvc.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\system32\mqsvc.exe"= "c:\Program Files\Mozilla Firefox\firefox.exe"= "c:\Program Files\Real\RealOne Player\realplay.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe"= "c:\Program Files\Skype\Phone\Skype.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 BT848;AV Basic WDM Video Capture;c:\windows\system32\drivers\BT848.sys [2002-01-27 252276] R2 BTXBAR;AV Basic WDM Crossbar;c:\windows\system32\drivers\BTXBAR.sys [2002-01-28 12288] R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [2008-07-29 184968] S3 a016bus;Sony Ericsson Device A016 driver (WDM);c:\windows\system32\DRIVERS\a016bus.sys [2008-01-18 83880] S3 a016mdfl;Sony Ericsson Device A016 USB WMC Modeme Filter;c:\windows\system32\DRIVERS\a016mdfl.sys [2008-01-18 15016] S3 a016mdm;Sony Ericsson Device A016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\a016mdm.sys [2008-01-18 110504] S3 a016mgmt;Sony Ericsson Device A016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\a016mgmt.sys [2008-01-18 104488] S3 a016obex;Sony Ericsson Device A016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\a016obex.sys [2008-01-18 100648] S3 DCamUSBSTK016;STK016 Camera;c:\windows\system32\DRIVERS\STK016W2.sys [2003-10-04 99476] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-15 12:23:24 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-11-15 12:24:00 ComboFix-quarantined-files.txt 2008-11-15 11:23:58 ComboFix2.txt 2008-11-14 23:31:37 Pre-Run: 45 052 764 160 octets libres Post-Run: 45,044,596,736 octets libres 152

Safius · Answer

Voilà le rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:05, on 15/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fdivertissement%2fcelebrites%2fgalery%2fwentworth02.jpg%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [E06FDXRC_208828] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: Prayer.lnk = C:\HAD\PTW.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

sKe69 · Answer

Salut,


nickel .... la suite :


1- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "francais" en langue . 
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières. 


Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



2- Installes Malwarebytes ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasses le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnectes toi et fermes toutes applications en cours ! 

* Lances Malwarebyte's .

Fais un examen dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) 
accompagné d'un nouveau rapport hijackthis pour analyse ...

Safius · Answer

Pour CCleaner c'est fait !
Est-ce que je pourrai avoir un lien pour Malwarebytes s'il te plais ?

jfkpresident · Answer

Est-ce que je pourrai avoir un lien pour Malwarebytes s'il te plais ?

MBAM

Safius · Answer

Mercii =)

Safius · Answer

Désolé de ne répondre que maintenant mais ça a été très long !
Voilà le rapport Malware :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1400
Windows 5.1.2600 Service Pack 2

15/11/2008 20:29:14
mbam-log-2008-11-15 (20-29-14).txt

Type de recherche: Examen complet (C:\|F:\|G:\|H:\|)
Eléments examinés: 638584
Temps écoulé: 3 hour(s), 15 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 33

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\efcCtUOF.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mlJYpQiG.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32
nnmmjJY.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\qoMdcAPh.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfub.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnmxh.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrsr.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSoexh.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSosvd.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSrhym.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSsbhc.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\urqRHxVM.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wvUoMdCr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSofxh.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSpaxt.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000001.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000002.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000003.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000004.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000005.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000027.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000031.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000032.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000034.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000035.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000036.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000039.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000042.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000043.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000044.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP0\A0000040.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.

Safius · Answer

Et enfin le rapport HiJack =) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:02:32, on 15/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\HAD\PTW.EXE
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fdivertissement%2fcelebrites%2fgalery%2fwentworth02.jpg%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [E06FDXRC_208828] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: Prayer.lnk = C:\HAD\PTW.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Safius · Answer

Tout supprimé !
& j'crois bien que tous les virus ont disparu. J'avais un problème avant, souvent au premier démarage de l'ordi, y avait un écran bleu avec pleins de truc écrits en blanc qui s'affichait et c'était seulement à partir du 2eme démarrage que l'ordi fonctionnait bien ... Mais là ça le fait plus ! =D

1000 Mercii !! =D

sKe69 · Answer

re,


ce n'est pas finis les amis ! .... encore pas mal de chose à voir sur ton PC ! ....


1- Vides bien la quarantaine de Malwarebytes comme demandé ....



2- Télécharges Ad-remover ( de Cyrildu17 / C_XX ) sur ton bureau ( et pas ailleurs!) :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnectes toi et fermes toutes applications en cours ! 

* Cliques sur "Ad-R.exe" pour lancer l'installation et laisses les paramètres d'installe par défaut ( le bureau ) . 
* ouvres le dossier le dossier "AD-Remover" : double cliques sur Ad-remover.bat pour lancer l'outil . 
* Au menu principal choisi l'option "A" et laisses faire ... 
--> Postes le rapport qui apparait à la fin . 

( le rapport est sauvegardé aussi sous C:\Ad-report.log ) 

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Safius · Answer

Au fait j'ai rien dit pour l'écran de démarrage bleu qui ne s'affiche plus, il l'a refait ce matin -_- Jcrois que c'est l'ordi lui même qui a un bleme ^^
Je reviens ce soir pour la suite :
Voilà le Ad Rapport :

   
F --------- Logfile of AD-Remover 1.0.3.3 by C_XX ---------    

START at: 11:36:12 | 16/11/2008 
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP ) 
Internet Explorer: 6.0.2900.2180
OPTION: Scan
EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
USER: Em | PC: LSDBOT-III
BOOT MODE: Normal 
DRIVE(S): A:\ 
~> Systemdrive: C:\
 
--------- [ PROCESSES ] ---------

\SystemRoot\System32\smss.exe [540]   
\??\C:\WINDOWS\system32\csrss.exe [608]   
\??\C:\WINDOWS\system32\winlogon.exe [632]   
C:\WINDOWS\system32\services.exe [676]   
C:\WINDOWS\system32\savedump.exe [692]   
C:\WINDOWS\system32\lsass.exe [700]   
C:\WINDOWS\system32\svchost.exe [872]   
C:\WINDOWS\system32\svchost.exe [964]   
C:\WINDOWS\System32\svchost.exe [1060]   
C:\WINDOWS\system32\svchost.exe [1224]   
C:\WINDOWS\system32\svchost.exe [1344]   
C:\WINDOWS\system32\spoolsv.exe [1412]   
C:\WINDOWS\Explorer.EXE [1612]   
C:\WINDOWS\system32\ctfmon.exe [1660]   
C:\WINDOWS\system32\msdtc.exe [1732]   
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe [1780]   
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe [1860]   
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [1876]   
C:\Program Files\iTunes\iTunesHelper.exe [1896]   
C:\Program Files\SPAMfighter\SFAgent.exe [1904]   
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [1968]   
C:\WINDOWS\lclock.exe [1976]   
C:\Program Files\Alwil Software\Avast4\ashServ.exe [2008]   
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [1996]   
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe [136]   
C:\WINDOWS\system32\inetsrv\inetinfo.exe [192]   
C:\Program Files\Netscape\Netscape\Netscp.exe [268]   
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe [332]   
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE [420]   
C:\Program Files\Skype\Phone\Skype.exe [428]   
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe [440]   
C:\WINDOWS\system32	cpsvcs.exe [512]   
C:\WINDOWS\System32\snmp.exe [704]   
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe [132]   
C:\Program Files\SPAMfighter\sfus.exe [904]   
C:\WINDOWS\system32\svchost.exe [1000]   
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe [1108]   
C:\WINDOWS\system32\wdfmgr.exe [1260]   
C:\WINDOWS\system32\mqsvc.exe [1576]   
C:\Program Files\WinZip\WZQKPICK.EXE [2128]   
C:\WINDOWS\system32\mqtgsvc.exe [2508]   
C:\WINDOWS\system32\msiexec.exe [2732]   
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2844]   
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2904]   
C:\WINDOWS\System32\alg.exe [2932]   
C:\Program Files\iPod\bin\iPodService.exe [3208]   
C:\Program Files\Skype\Plugin Manager\skypePM.exe [3656]   
C:\WINDOWS\system32\wuauclt.exe [3916]   
C:\WINDOWS\system32\wscntfy.exe [216]   

---------------------------- [~> 49]


+---------------------------------------------------------------------------+
+-------------------------------  SERVICES FOUND
+---------------------------------------------------------------------------+ 


+---------------------------------------------------------------------------+
+-------------------------------  REGISTRY ELEMENTS FOUND
+---------------------------------------------------------------------------+ 

"HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo" 
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1" 
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}" 
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}" 
"HKEY_CURRENT_USER\SOFTWARE\EoRezo" 
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}" 
"HKEY_CLASSES_ROOT\.sud" 
"HKEY_CLASSES_ROOT\sud_ext" 
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho" 
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1" 
"HKEY_CLASSES_ROOT\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}" 
"HKEY_CLASSES_ROOT\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}" 

+---------------------------------------------------------------------------+
+-------------------------------  FILES\FOLDERS FOUND 
+---------------------------------------------------------------------------+ 

[15/05/2008 18:38|d--------] C:\Program Files\EoRezo 
[16/11/2008 00:09|d--------] C:\Documents and Settings\Em\Application Data\EoRezo 
[15/05/2008 18:38|d--------] C:\Documents and Settings\All Users\MENUDM~1\PROGRA~1\EoRezo 
 
 
+---------- Scanning prefs.js ... ( # Mozilla User Preferences ) 
 
...\gllxb1gi.default\prefs.js : 
 
~~~~ Mozilla FireFox version 2.0.0.18 ~~~~ 
  
Start Page :  "https://www.google.fr/?gws_rd=ssl"   
 
+----------+ 
 
 
+---------------------------------------------------------------------------+ 
 

+---------- Added scan ...

+-----[HKLM\...\Run]
 
TkBellExe	REG_SZ	"C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot 
NeroFilterCheck	REG_SZ	C:\WINDOWS\system32\NeroCheck.exe 
InCD	REG_SZ	C:\Program Files\Ahead\InCD\InCD.exe 
Adobe Reader Speed Launcher	REG_SZ	"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\QTTask.exe" -atboottime 
iTunesHelper	REG_SZ	"C:\Program Files\iTunes\iTunesHelper.exe" 
SPAMfighter Agent	REG_SZ	"C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60 
KernelFaultCheck	REG_EXPAND_SZ	%systemroot%\system32\dumprep 0 -k 

+-----[HKCU\...\Run]

CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe 
LClock	REG_SZ	lclock.exe 
MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background 
Mozilla Quick Launch	REG_SZ	"C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo 
E06FDXRC_208828	REG_SZ	"C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m 
Skype	REG_SZ	"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized 
Sony Ericsson PC Suite	REG_SZ	"C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon 

+-----[HKLM\...\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home 

+-----[HKCU\...\Internet Explorer\MAIN]

Start Page : hxxp://www.msn.fr/ 

+---------------------------------------------------------------------------+
+-------------------------------  [ EOF - 125 lines ]
+---------------------------------------------------------------------------+

[ END at: 11:37:44 | 16/11/2008 ] - [ Time elapsed: 91.7 seconds ]

sKe69 · Answer

Salut,

la suite dans l'ordre :



1- Nettoyage AD-Remover : 

! Déconnectes toi et fermes toutes applications en cours ! 

* Relances "Ad-remover" : au menu principal choisi l'option "B" . 

--> le programme va travailler ... 

* Postes le rapport qui apparait à la fin + un nouvel Hijackthis pour analyse ... 

( le rapport est sauvegardé aussi sous C:\Ad-report.log ) 

/!\ Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\ 



2- refais un coup de CCleaner ( registre compris ).



3-  Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable  sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Fermes bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* cliques ensuite sur " Continue " pour lancer l'analyse ...


( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)


-> laisses faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : postes un rapport, puis l'autre dans la réponse suivante ... si tu essayes de poster les deux en même temps,
cela risque d'être trop long pour le forum ... 
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Safius · Answer

1. Voilà le rapport Ad-Remover :

F --------- Logfile of AD-Remover 1.0.3.3 by C_XX ---------    

START at: 21:39:37 | 16/11/2008 
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP )
Internet Explorer: 6.0.2900.2180
OPTION: Clean
EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
USER: Em | PC: LSDBOT-III
BOOT MODE: Normal 
DRIVE(S): A:\ 
~> Systemdrive: C:\
 
--------- [ PROCESSES ] ---------

\SystemRoot\System32\smss.exe [540]   
\??\C:\WINDOWS\system32\csrss.exe [608]   
\??\C:\WINDOWS\system32\winlogon.exe [632]   
C:\WINDOWS\system32\services.exe [676]   
C:\WINDOWS\system32\lsass.exe [688]   
C:\WINDOWS\system32\svchost.exe [844]   
C:\WINDOWS\system32\svchost.exe [936]   
C:\WINDOWS\System32\svchost.exe [1032]   
C:\WINDOWS\system32\svchost.exe [1212]   
C:\WINDOWS\system32\svchost.exe [1316]   
C:\WINDOWS\system32\spoolsv.exe [1384]   
C:\WINDOWS\Explorer.EXE [1580]   
C:\WINDOWS\system32\ctfmon.exe [1604]   
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe [1712]   
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe [1760]   
C:\Program Files\iTunes\iTunesHelper.exe [1776]   
C:\Program Files\SPAMfighter\SFAgent.exe [1784]   
C:\WINDOWS\lclock.exe [1812]   
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [1828]   
C:\WINDOWS\system32\msdtc.exe [1844]   
C:\Program Files\Netscape\Netscape\Netscp.exe [1856]   
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE [1868]   
C:\Program Files\Skype\Phone\Skype.exe [1892]   
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe [1936]   
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2024]   
C:\Program Files\Alwil Software\Avast4\ashServ.exe [2040]   
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe [196]   
C:\WINDOWS\system32\inetsrv\inetinfo.exe [216]   
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe [384]   
C:\WINDOWS\system32	cpsvcs.exe [460]   
C:\Program Files\WinZip\WZQKPICK.EXE [596]   
C:\HAD\PTW.EXE [600]   
C:\WINDOWS\System32\snmp.exe [132]   
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe [876]   
C:\Program Files\SPAMfighter\sfus.exe [724]   
C:\WINDOWS\system32\svchost.exe [1108]   
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe [1292]   
C:\WINDOWS\system32\wdfmgr.exe [1360]   
C:\WINDOWS\system32\mqsvc.exe [1620]   
C:\WINDOWS\system32\mqtgsvc.exe [2640]   
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2844]   
C:\Program Files\iPod\bin\iPodService.exe [2956]   
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2984]   
C:\WINDOWS\System32\alg.exe [3016]   
C:\Program Files\Skype\Plugin Manager\skypePM.exe [3568]   
C:\WINDOWS\system32\wscntfy.exe [4008]   

---------------------------- [~> 46]


+---------------------------------------------------------------------------+
+-------------------------------  SERVICES DELETED
+---------------------------------------------------------------------------+ 


+---------------------------------------------------------------------------+
+-------------------------------  REGISTRY ELEMENTS DELETED 
+---------------------------------------------------------------------------+ 

"HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_CURRENT_USER\SOFTWARE\EoRezo"
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_CLASSES_ROOT\.sud"
"HKEY_CLASSES_ROOT\sud_ext"
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho"
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1"
"HKEY_CLASSES_ROOT\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}"
"HKEY_CLASSES_ROOT\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}"

+---------------------------------------------------------------------------+
+-------------------------------  FILES\FOLDERS DELETED 
+---------------------------------------------------------------------------+ 

[15/05/2008 18:38|d--------] C:\Program Files\EoRezo  
[16/11/2008 20:37|d--------] C:\Documents and Settings\Em\Application Data\EoRezo  
[15/05/2008 18:38|d--------] C:\Documents and Settings\All Users\MENUDM~1\PROGRA~1\EoRezo  

(!) ---- Temp files deleted.

(!) ---- Recycle bin emptied in all drives.

 
 
+---------- Scanning prefs.js ... ( # Mozilla User Preferences ) 
 
...\gllxb1gi.default\prefs.js : 
 
~~~~ Mozilla FireFox version 2.0.0.18 ~~~~ 
  
Start Page :  "https://www.google.fr/?gws_rd=ssl"   
 
+----------+ 
 
 

+---------- Added scan ...

+-----[HKLM\...\Run]
 
TkBellExe	REG_SZ	"C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot 
NeroFilterCheck	REG_SZ	C:\WINDOWS\system32\NeroCheck.exe 
InCD	REG_SZ	C:\Program Files\Ahead\InCD\InCD.exe 
Adobe Reader Speed Launcher	REG_SZ	"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\QTTask.exe" -atboottime 
iTunesHelper	REG_SZ	"C:\Program Files\iTunes\iTunesHelper.exe" 
SPAMfighter Agent	REG_SZ	"C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60 
KernelFaultCheck	REG_EXPAND_SZ	%systemroot%\system32\dumprep 0 -k 

+-----[HKCU\...\Run]

CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe 
LClock	REG_SZ	lclock.exe 
MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background 
Mozilla Quick Launch	REG_SZ	"C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo 
E06FDXRC_208828	REG_SZ	"C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m 
Skype	REG_SZ	"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized 
Sony Ericsson PC Suite	REG_SZ	"C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon 

+-----[HKLM\...\Internet Explorer\MAIN]

Start Page : hxxp://fr.msn.com/ 

+-----[HKCU\...\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 

+---------------------------------------------------------------------------+
+-------------------------------  [ EOF - 121 lines ]
+---------------------------------------------------------------------------+

[ END at: 21:42:02 | 16/11/2008 ] - [ Time elapsed: 2 minutes, 25 seconds ]

Safius · Answer

Le rapport Hi Jack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:45, on 16/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\HAD\PTW.EXE
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [E06FDXRC_208828] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: Prayer.lnk = C:\HAD\PTW.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Safius · Answer

2. CCleaner fait =)

3. 1er rapport :

Logfile of random's system information tool 1.04 (written by random/random)
Run by Em at 2008-11-16 21:49:08
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 43 GB (43%) free of 100 GB
Total RAM: 768 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:10, on 16/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Em\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Em.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [E06FDXRC_208828] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: Prayer.lnk = C:\HAD\PTW.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Safius · Answer

2ème rapport :

info.txt logfile of random's system information tool 1.04 2008-11-16 21:49:13

======Uninstall list======

-->C:\Program Files\Ahead
ero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Program Files\Fichiers communs\Real\Update_OBnuninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->C:\WINDOWS\unmrw.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat 4.0, 5.0-->C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Acrobat 4.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 4.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 4.0\NT\Uninst.dll"
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Ad-remover-->C:\Program Files\Ad-remover\Uninstal.exe
Agfa ScanWise 1.60-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Agfa\ScanWise 1_60\uninst.isu" -c"C:\Program Files\Agfa\ScanWise 1_60\UNINSTALL.DLL"
AGFAnet Print Service-->C:\PROGRA~1\AGFAnet\Internet Print Service\UNWISE.EXE C:\PROGRA~1\AGFAnet\Internet Print Service\INSTALL.LOG
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
ASUS Probe V2.21.03-->C:\WINDOWS\uninst.exe -f"C:\Program Files\ASUS\Probe\DeIsL1.isu" -c"C:\Program Files\ASUS\Probe\probunis.dll"
AsusUpdate-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\ASUS\AsusUpdate\Uninst.isu"
Athan Basic 3.3-->C:\WINDOWS\iun6002.exe "C:\Program Files\Athan\irunin.ini"
Avanquest update-->C:\Program Files\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\Setup.exe -runfromtemp -l0x0009 -removeonly
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
AVIConverter 2.1-->C:\Program Files\AVIConverter\uninst.exe
Cardiris-->C:\WINDOWS\IsUn040c.exe -fC:\Cardiris\Uninst.isu
Collection Microsoft Encarta 2006-->MsiExec.exe /I{06180000-3E21-46D6-9A91-D927BA08F41D}
ConsumerUpdate-->MsiExec.exe /I{7C6999B2-1A35-4F2C-8DB7-3CB46B640CC9}
Corel Applications-->C:\WINDOWS\Corel\Uninst32.exe
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]-->C:\WINDOWS\$NtUninstallQ828026$\spuninst\spuninst.exe
CrestaCards Video Greetings-->RunDll32 C:\PROGRA~1\FICHIE~1\InstallShield\engine\6\Intel 32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9E478D1E-8B28-4896-B22F-448A7E1DB9BF}\Setup.exe" -uninst 
DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DSL Speed V4.0-->"C:\Program Files\DSL Speed\DSL Speed V4.0\unins000.exe"
EPSON PhotoQuicker3.2-->RunDll32 C:\PROGRA~1\FICHIE~1\InstallShield\engine\6\Intel 32\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B2EFE303-A594-11D5-95EB-005004BC1C65}\setup.exe" uninst
EPSON Printer Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
ES C42 Series Guide-->C:\WINDOWS\uninst.exe -f"C:\Program Files\EPSON\ES C42\DeIsL1.isu"
Grab & Burn, Version 5.0.2 Free( Build 2006-08-23, Win32, CSS )-->"C:\Program Files\Rocket Division Software\GrabBurn\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
IBEAD Multi Player-->RunDll32 C:\PROGRA~1\FICHIE~1\InstallShield\engine\6\Intel 32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{71E4EF4D-B65D-430A-86DF-4D13AB6C581B}\Setup.EXE" -l0x9 
iTunes-->MsiExec.exe /I{80FD852F-5AAC-4129-B931-06AAFFA43138}
Java 2 Runtime Environment, SE v1.4.1_02-->RunDll32 C:\PROGRA~1\FICHIE~1\InstallShield\engine\6\Intel 32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFCE5837-FC21-11D6-9D24-00010240CE95}\setup.exe" Anytext
Java 2 Runtime Environment, SE v1.4.2_01-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142010}
Java Web Start-->"C:\Program Files\Java\j2re1.4.2_01\javaws\uninst-javaws.exe"
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
L&H TTS3000 Français-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSFRF.inf, Uninstall
LeechFTP-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LEECHFTP.INF, DefaultUninstall.ntx86
Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\Shockwave 10\UNWISE.EXE C:\WINDOWS\system32\Macromed\Shockwave 10\Install.log
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
MGI PhotoSuite III SE (suppression seulement)-->"C:\Program Files\MGI\MGI PhotoSuite III SE\System\MGIUninstall.exe" C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\MGI\MGI PhotoSuite III SE\Uninst.isu" -c"C:\Program Files\MGI\MGI PhotoSuite III SE\System\CustomUninstall.dll"
MGI VideoWave 4-->MsiExec.exe /I{1CB63C5C-DA69-4793-BD35-43BDE2A86D43}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP  Media Content-->MsiExec.exe /I{90300401-6000-11D3-8CFE-0050048383C9}
Microsoft Office XP English User Interface Pack-->MsiExec.exe /I{901E0409-6000-11D3-8CFE-0050048383C9}
Microsoft Office XP Media Content-->MsiExec.exe /I{9030040C-6000-11D3-8CFE-0050048383C9}
Microsoft Office XP Standard-->MsiExec.exe /I{9012040C-6000-11D3-8CFE-0050048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Works 7.0-->MsiExec.exe /I{64D114CE-4234-45C2-B60A-2B07D5A48F72}
mIRC-->"C:\Program Files\mIRC\mirc.exe" -uninstall
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mozilla Firefox (2.0.0.18)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MultiTranse 4.7.1-->"C:\Program Files\MultiTranse\unins000.exe"
Nero Suite-->C:\Program Files\Fichiers communs\Nero\Uninstall\Setup.exe /uninstall ExtraUninstallID=""
Netscape (7.1)-->C:\WINDOWS\NSUninst.exe /ua "7.1b1 (fr)"
PDFCreator Toolbar-->"C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8062.exe"  _?=C:\Program Files\PDFCreator Toolbar
PDFCreator-->"C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8062.exe"  -hu  _?=C:\Program Files\PDFCreator Toolbar
PhotoFiltre Studio-->"C:\Program Files\PhotoFiltre Studio\Uninst.exe"
PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
QuickCam Drivers-->rundll.exe setupx.dll,InstallHinfSection DefaultInstall 132 c:\lvideo2\lvcam\lvdel.inf
QuickTime-->MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067}
Readiris-->C:\WINDOWS\ISUN040C.EXE -fC:\Readiris\Uninst.isu -cC:\Readiris\delcache.dll
RealOne Player-->C:\Program Files\Fichiers communs\Real\Update_OBnuninst.exe RealNetworks|RealPlayer|6.0
Shockwave-->C:\WINDOWS\system32\Macromed\Shockwave 8\UNWISE.EXE C:\WINDOWS\system32\Macromed\Shockwave 8\Install.log
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Sony Ericsson Media Manager 1.1-->MsiExec.exe /X{82419DFA-102C-403D-B9D0-C0F0652AB8F8}
Sony Ericsson PC Suite 3.209.00-->C:\Program Files\InstallShield Installation Information\{2FFE93F0-BB72-4E52-8761-354D1AAA9387}\Setup.exe -runfromtemp -l0x040c -removeonly
SoundMAX-->RunDll32 C:\PROGRA~1\FICHIE~1\InstallShield\engine\6\Intel 32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" 
SPAMfighter-->"C:\Program Files\SPAMfighter\uninstall.exe" Remove
STK016_V2.01-->RunDll32 C:\PROGRA~1\FICHIE~1\InstallShield\engine\6\Intel 32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D5D71581-51DA-4D0B-89B1-52671AC16B74}\Setup.exe" -l0x9 
Ulead VideoStudio 8.0 SE DVD-->RunDll32 C:\PROGRA~1\FICHIE~1\InstallShield\Professional\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4F1DA6BF-3614-48A1-9970-9E90F646789E}\setup.exe" -l0x40c 
URUSoft ViPlay3-->"C:\Program Files\URUSoft\ViPlay3\uninstall.exe"
VideoLAN VLC media player 0.8.6c-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VirtualDub-->C:\Program Files\VirtualDub\uninstall.exe
Visual C++ 8.0 ATL (x86) WinSXS MSM Beta2-->MsiExec.exe /I{97F81AF1-0E47-DC99-FF1F-C8B3B9A1E18E}
Visual C++ 8.0 ATL.Policy (x86) WinSXS MSM Beta2-->MsiExec.exe /I{66332652-9C28-58B1-FF1F-C8B3B9A1E18E}
Visual C++ 8.0 CRT (x86) WinSXS MSM Beta2-->MsiExec.exe /I{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}
Visual C++ 8.0 CRT.Policy (x86) WinSXS MSM Beta2-->MsiExec.exe /I{63E949F6-03BC-5C40-FF1F-C8B3B9A1E18E}
Visual C++ 8.0 MFC (x86) WinSXS MSM Beta2-->MsiExec.exe /I{9BAE13A2-E7AF-D6C3-FF1F-C8B3B9A1E18E}
Visual C++ 8.0 MFC.Policy (x86) WinSXS MSM Beta2-->MsiExec.exe /I{68B7C6D9-1DF2-54C1-FF1F-C8B3B9A1E18E}
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinZip-->"C:\Program Files\WinZip\WINZIP32.EXE" /uninstall
&#1605;&#1589;&#1581;&#1601; &#1575;&#1604;&#1605;&#1583;&#1610;&#1606;&#1577; &#1575;&#1604;&#1606;&#1576;&#1608;&#1610;&#1577;-->RunDll32 C:\PROGRA~1\FICHIE~1\InstallShield\Professional\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1136FCB8-E1E9-4A02-B3B5-E2598DFB16CE}\SetUp.exe" -l0x1  -removeonly

======Security center information======

AV: avast! antivirus 4.8.1229 [VPS 081116-0]

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Fichiers communs\Ulead Systems\MPEG;C:\Program Files\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"DEVMGR_SHOW_DETAILS"=1
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_02\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_02\lib\ext\QTJava.zip

-----------------EOF-----------------

sKe69 · Answer

fait ceci pour réactiver Avast :

vas dans "C:\program files", puis recherche le dossier "alwil" (Avast) .
Tu rentres dedans et recherches " ashDisp.exe " -> tu cliques dessus ---> l´icone d´avast devrait réaparaitre ...



ensuite fais ceci dans l'ordre :

1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( gardes CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

======================================

4- Purge de la restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :
 
Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. 
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...). 
- On va te demander de télécharger un contôle active x, accepte . 
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer. 
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ... 

--> tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

Note : 
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 
Rappel : le scan est à faire sous Internet Explorer !

Safius · Answer

1. Rapport ToolsCleaner :

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\!Killbox: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Em\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Em\Bureau\KillBox.exe: trouvé !
C:\Documents and Settings\Em\Bureau\OAD.exe: trouvé !
C:\Documents and Settings\Em\Bureau\Rsit.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Em\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Em\Bureau\KillBox.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Em\Bureau\OAD.exe: supprimé !
C:\Documents and Settings\Em\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\!Killbox: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

sKe69 · Answer

Salut ,


très bien ... continues ...  ;)

Safius · Answer

2. CCleaner fait =)

3. HiJack téléchargé.

Je continue.

Safius · Answer

4. Fait

Safius · Answer

Question : Est-ce que pendant le scan Kapersky je peux utiliser l'ordi ?

Safius · Answer

Désoléé pour tout ce temps ... Mais c'était teelleeement long que à chaque fois j'étais obligé d'éteindre l'ordi au bout d'un moment.
Voilà donc le rapport de l'analyse comme demandée :

KASPERSKY ON-LINE SCANNER REPORT
Wednesday, November 19, 2008 12:10:24 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 18/11/2008
Enregistrements dans la base antivirus Kaspersky : 1248697
Paramètres d'analyse
Analyser avec la base antivirus suivante 	standard
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Statistiques de l'analyse
Total d'objets analysés 	602047
Nombre de virus trouvés 	1
Nombre d'objets infectés 	2 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	06:53:03

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Documents and Settings\Em\Application Data\Mozilla\Profiles\default\dkx3h7rs.slt\parent.lock 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\call256.dbb 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\callmember256.dbb 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\chat512.dbb 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\chatmember256.dbb 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\chatmsg256.dbb 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\contactgroup256.dbb 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\dyncontent\bundle.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\index2.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\profile256.dbb 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\Skype\mushab0om\user1024.dbb 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Application Data\SPAMfighter\Logs\Agent.log.txt 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Local Settings\Historique\History.IE5\MSHist012008111820081119\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Em
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt 	L'objet est verrouillé 	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
C:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP1\change.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Internet.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\MsDtc\MSDTC.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\msmq\storage\QMLog 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_2f4.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_8c.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
G:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707\comment.htt 	Infecté : Trojan.VBS.Starter.a 	ignoré
H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707\golden arena home\comment.htt 	Infecté : Trojan.VBS.Starter.a 	ignoré
H:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
Analyse terminée.

sKe69 · Answer

Salut,


bien ... encore un peut de nettoyage :


Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau. 

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !
 
Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg . 
Puis copies ce qui se trouve en citation ci-dessous,
 

:Processes
explorer.exe

:Services

:Reg

:Files
H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707­\comment.htt
H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707­\golden arena home\comment.htt

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


et colles le dans le cadre de gauche de OTMoveIt3 : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ... 

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"  
( " xxxx2008_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).




dis moi après cela comment va le PC ... encore des soucis particuliers ? ... si tout est Ok , on pourra finaliser ... ;)

Safius · Answer

Jcrois que mon ordi se porte à merveille ^^
Voilà le rapport :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
File/Folder H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707­\comment.htt not found.
File/Folder H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707­\golden arena home\comment.htt not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_33c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_7fc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11192008_115501

Files moved on Reboot...
File C:\WINDOWS	emp\_avast4_\Webshlock.txt not found!
C:\WINDOWS	emp\Perflib_Perfdata_33c.dat moved successfully.
File C:\WINDOWS	emp\Perflib_Perfdata_7fc.dat not found!

sKe69 · Answer

bien .... 

reprends la manipe de OTmoveIt mais branches bien tes unités externes au PC avant ( clé USB , DD externe ,ect ... ).


postes moi le nouveau rapport obtenu ...

Safius · Answer

Euh comment ça ? Qu'est ce que jdois brancher ?

Safius · Answer

Voilà le rapport après avoir branché ma clé USB :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
File/Folder H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707­\comment.htt not found.
File/Folder H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707­\golden arena home\comment.htt not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_724.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_c4.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11192008_133745

Files moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_724.dat not found!
C:\WINDOWS	emp\Perflib_Perfdata_c4.dat moved successfully.

sKe69 · Answer

Bon ...


1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* pour la console Java :
-> désinstalles les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharges et installes la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment
ou https://www.java.com/fr/

-> Enfin contrôles ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


* Adobe Reader :
-> désinstalles avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Important : si tu as une imprimante ,désactives la et la débranches du PC avant de faire la mise à jour.
-> télécharges et installes la dernière version ici : 
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader 



2- refais un dernier scan hijackthis , postes le nouveau rapport obtenu et attends la suite ...

Safius · Answer

La seule icône Java que j'ai dans le paneau de configuration c'est "Java Plug-in" et il ne propose pas ce que tu me demande de faire...

sKe69 · Answer

Tu as supprimé l'anscienne version et installé la nouvelle ?

Safius · Answer

Oui oui. J'ai un onglet "mettre à jour" mais il n'ya pas de case à cocher pour la mise à jour automatique ...

sKe69 · Answer

Bon ... passes à la suite et postes moi le rapport demandé une fois terminé ... ;)

Safius · Answer

Oh! Jsuis bête j'avais pas supprimer l'ancienne version mais j'ai oublié d'installer la nouvelle de Java -_- Donc c'est bon j'ai tout fait, pour Adobe Reader aussi =)
Par contre mon ordi s'est encore mis en écran bleu ... ça jcrois qu'on y peut rien ^^

Voici le rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:45, on 19/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [E06FDXRC_208828] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: Prayer.lnk = C:\HAD\PTW.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

sKe69 · Answer

Très bien ...


maintenant , avant de passer à la fase finale .... ton antivirus ! ...


Avast est HS apparemment ( plus présent au démarrage ... ) ... je te propose de changer pour un Antivirus plus légé et plus performant ( gratuit aussi ) ... 

si cela te dis , je te donne la procédure pour faire le changement ... ;)


Dis moi ...

Safius · Answer

Bah s'il est plus performant, j'dis pas non ^^

sKe69 · Answer

bien ... voilà la manipe :


1- Télécharges AntiVir ici :

http://dlce.antivir.com/preversion_fr/preversion_fr_exe.html

Anti-virus gratuit  .

--> ne lances pas l'installe de suite ! 
 


2- Désinstalles proprement Avast en suivant cette astuce :
-> http://www.commentcamarche.net/faq/sujet 8172 desinstaller proprement avast

Pour que la désinstalle ce déroule sans prb , lances l'.exe en mode sans échec . 


3- De retour en mode normal , refais un coup de CCleaner ( registre compris ) 


4- Enfin , installes AntiVir et mets le à jour (fais ce-ci très régulièrement ) .

Aide AntiVir : 
https://www.malekal.com/avira-free-security-antivirus-gratuit/
http://www.forum-vista.net/forum/topic5704.html

( Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible  ).


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, cliques sur "configuration" et coches la case " mode expert " : 
* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coches tous les fichiers et en dessous dans priorité scanner= élevé  .
coches aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir. 
* toujours dans "recherche" -> " Autres réglages ", coches les cases suivantes : 
>secteur d'amorçage lecteurs de rech. 
>Contrôler secteurs d'amorçage maître 
>Suivre les liens symboliques 
>Rech.Rootkit au dém. de la recherche 
et décoches : 
ignorer les fichiers hors ligne 
* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coches heuristique fichier Win32 et coches la case degré d'identification élevé ...

---> cliques sur "OK" pour valider le réglage ...
****************************************

Une fois fait , 
Impératif : Redémarrer l'ordinateur en mode sans échec . 

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;) 

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et postes moi tous les rapports ... )

Safius · Answer

Je n'arrive pas à me mettre en mode sans échec. Il me demande un mot de passe pour ouvrir le compte Administrateur, mais je n'ai pas ce mot de passe. Quand je vais dans panneau de configuration et comptes utilisateurs, il n'y a pas non plus le compte Administrateur. 
Je fais comment ? :/ Il ne me demande que le compte Administrateur et pas de compte habituel...

sKe69 · Answer

rrrr , ces pc piratés ....


lances le scan en mode normal ....

Safius · Answer

Donc je peux pas désinstaller Avast ? (J'en suis encore à ce stade en fait...)

sKe69 · Answer

c'est vrai ... ^^

pour le mot de passe , possible qu'il n'y en est pas en fait ... clique directement sur Ok sans rien rentrer pour voir et dis moi ....

Safius · Answer

C'est ce que j'avais essayé en premier et non ça ne marche pas ...

sKe69 · Answer

Essayes ce-ci d'abors pour réparer le mode sans échec : 
Cliques droit sur ce lien :
http://www.malekal.com/download/SafeBoot.reg 
Et choisis " enregistrer la cible sous " afin de télécharger "SafeBoot.reg" sur ton Bureau . 
Doubles cliques sur ce .reg et acceptes la fusion avec le registre . 


ensuite re-tentes le coup et dis moi ...

Safius · Answer

Toujours pareil =s

sKe69 · Answer

tant pis ... 


fais la désinstalle en mode normal en désactivant Avast avant !


ensuite poursuit la manipe et fais le scan avec AntiVir en mode normal aussi ...

Safius · Answer

J'ai desactivé Avast avant et la desinstallation ne marche pas... Message d'erreur.

archet9 · Answer

salut ske et safuis...
apparemment ca devient une 
histoire d amour....
merci  encore  ske 69 d avoir pris la suite...
courage safius.....
bien a vous 2...
a+

sKe69 · Answer

grrrrrr... essayes de réparer le mode sans échec ainsi :

Télécharges ceci : 
https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe 

double clique dessus ( cela répare la clé safeboot qui gère le mode sans echec ).



puis retentes le coup ....

Safius · Answer

Toujours pareil ...

sKe69 · Answer

Quelle merde ces Windows piraté ....


Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau. 

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !
 
Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg . 
Puis copies ce qui se trouve en citation ci-dessous,
 

:Processes
explorer.exe

:Services
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! iAVS4 Control Service

:Reg

:Files
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
C:\Program Files\Alwil Software\Avast4\ashServ.exe 
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


et colles le dans le cadre de gauche de OTMoveIt3 : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ... 

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"  
( " xxxx2008_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).

Safius · Answer

Voilà le rapport =) :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service avast! Antivirus .
Service avast! Mail Scanner stopped successfully.
Service avast! Mail Scanner deleted successfully.
Service avast! Web Scanner stopped successfully.
Service avast! Web Scanner deleted successfully.
Unable to stop service avast! iAVS4 Control Service .
========== REGISTRY ==========
========== FILES ==========
File move failed. C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe scheduled to be moved on reboot.
File move failed. C:\Program Files\Alwil Software\Avast4\ashServ.exe scheduled to be moved on reboot.
File move failed. C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe scheduled to be moved on reboot.
File move failed. C:\Program Files\Alwil Software\Avast4\ashWebSv.exe scheduled to be moved on reboot.
File move failed. C:\Program Files\Alwil Software\Avast4\ashDisp.exe scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\IA64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\images scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HtmlData scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HELP scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\Skin scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATAeport scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\moved scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\log scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\journal scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\integ scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\chest scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\backup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software scheduled to be moved on reboot.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_138.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_2b4.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_7e0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11192008_222128

Files moved on Reboot...
File move failed. C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe scheduled to be moved on reboot.
File move failed. C:\Program Files\Alwil Software\Avast4\ashServ.exe scheduled to be moved on reboot.
File move failed. C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe scheduled to be moved on reboot.
File move failed. C:\Program Files\Alwil Software\Avast4\ashWebSv.exe scheduled to be moved on reboot.
File move failed. C:\Program Files\Alwil Software\Avast4\ashDisp.exe scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\IA64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\IA64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\IA64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\images scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HtmlData scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HELP scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HtmlData scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HELP scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\Skin scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATAeport scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\moved scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\log scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\journal scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\integ scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\chest scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\backup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\Skin scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATAeport scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\moved scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\log scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\journal scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\integ scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\chest scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\backup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\IA64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\images scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HtmlData scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HELP scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\Skin scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATAeport scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\moved scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\log scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\journal scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\integ scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\chest scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\backup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\IA64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup\INF scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\Setup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\images scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HtmlData scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH\HELP scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\FRENCH scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\Skin scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATAeport scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\moved scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\log scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\journal scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\integ scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\chest scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA\backup scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4\DATA scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software\Avast4 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Alwil Software scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_138.dat not found!
C:\WINDOWS	emp\Perflib_Perfdata_2b4.dat moved successfully.
C:\WINDOWS	emp\Perflib_Perfdata_7e0.dat moved successfully.

sKe69 · Answer

Bien ... maintenant retentes une désinstalles en mode normal avec le petit utilitaire ...

hva76 · Answer

Bonsoir , désolé pour le flood , il me semble que tu es un des plus competent ici , j'ai posté mon lien , si tu pouvais traité mon probleme ou le faire traité par des collegue a toi competent j'en serait ravi.


Bon travail.

Safius · Answer

Le message d'erreur s'affiche encore ... =(

sKe69 · Answer

re , tu peux nous préciser un peut plus ce message d'erreur ...


ou postes un capture d'écran de celui-ci ...



Astuce pour poster une  capture d'écran :
http://www.commentcamarche.net/faq/sujet 5606 montrer une copie d ecran



Edit :

c'est cela ton message d'erreur :

"The avast! self protection module is enabled. For this reason , the operation cannot be completed." 

?

Safius · Answer

Oui c'est exactement ça avec en plus : "To complete the operation, either run this program from Windows Safe Mode or disable the avast! self proteciton (cia Settings -> Troubleshooting page)"

Or, j'ai déjà desactivé Avast...

Safius · Answer

J'ai désinstallé Avast avec ajout/suppresion de programme, et ça a marché comme c'est indiqué dans le tuto.

Safius · Answer

& maintenant le petit utilitaire fonctionne ^^

sKe69 · Answer

impec ... une fois le petit utilitaire passé , tu peux reprendre la suite de la manipe :

http://www.commentcamarche.net/forum/affich 9371429 virus antivirus 2009?page=8#188

Safius · Answer

3. CCleaner fait =)

4. Tout ce qui est demandé est fait (réglages et tout)
Je lance le scan en mode normal ?

sKe69 · Answer

oui .. lances le scan en mode normal ...

ne fais rein d'autre avec le PC pendant celui-ci ....


mets tout ce qu'il peut trouver en quarantaine et postes moi le rapport obtenu ... ;)

Safius · Answer

Il en était au 3/4 de la fin quand ce fameux écran bleu s'est affiché -_-" 
"Le problème semble être causé par le fichier atap.sys
Si vous voyez cet écran d'erreur pour la première fois [...]"

La dernière fois c'était le fichier Ntfs.sys

Breef je recommence donc ... A dans 3h ^^

sKe69 · Answer

Vu ...

sinon , laisses reposer le PC un moment (éteinds le quelques heures) et refais le scan plus tard ....

Safius · Answer

Finis ! Voilà le rapport : Avira AntiVir Personal Date de création du fichier de rapport : jeudi 20 novembre 2008 16:17 La recherche porte sur 1043711 souches de virus. Détenteur de la licence :Avira AntiVir PersonalEdition Classic Numéro de série : 0000149996-ADJIE-0001 Plateforme : Windows XP Version de Windows :(Service Pack 2) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur :LSDBOT-III Informations de version : BUILD.DAT : 8.2.0.51 16930 Bytes 01/11/29 15:47:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 22/06/29 08:57:49 AVSCAN.DLL : 8.1.4.1 49921 Bytes 18/07/29 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 08/06/29 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 01/07/29 07:30:27 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/29 11:32:51 ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 11/11/29 11:32:53 ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 18/11/29 11:32:55 ANTIVIR3.VDF : 7.1.0.114 127488 Bytes 22/11/29 11:32:56 Version du moteur: 8.2.0.34 AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/29 10:05:56 AESCRIPT.DLL : 8.1.1.15 332156 Bytes 22/11/29 11:33:09 AESCN.DLL : 8.1.1.5 123251 Bytes 22/11/29 11:33:08 AERDL.DLL : 8.1.1.3 438645 Bytes 22/11/29 11:33:07 AEPACK.DLL : 8.1.3.4 393591 Bytes 22/11/29 11:33:05 AEOFFICE.DLL : 8.1.0.30 196986 Bytes 22/11/29 11:33:03 AEHEUR.DLL : 8.1.0.71 1487222 Bytes 22/11/29 11:33:02 AEHELP.DLL : 8.1.2.0 119159 Bytes 22/11/29 11:32:59 AEGEN.DLL : 8.1.1.4 319861 Bytes 22/11/29 11:32:58 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/29 10:05:56 AECORE.DLL : 8.1.5.0 172407 Bytes 22/11/29 11:32:57 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/29 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 06/07/29 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 11/05/29 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 22/11/29 11:32:56 AVREG.DLL : 8.0.0.1 33537 Bytes 04/05/29 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 05/02/29 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 08/06/29 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 14/01/29 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 08/06/29 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 17/01/29 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 01/07/29 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 14/07/29 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, F:, G:, H:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: marche Fichier mode de recherche........: Tous les fichiers Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: élevé Début de la recherche : jeudi 20 novembre 2008 16:17 La recherche d'objets cachés commence. '24079' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés Processus de recherche 'msiexec.exe' - '1' module(s) sont contrôlés Processus de recherche 'PTW.EXE' - '1' module(s) sont contrôlés Processus de recherche 'WZQKPICK.EXE' - '1' module(s) sont contrôlés Processus de recherche 'mqtgsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'mqsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sfus.exe' - '1' module(s) sont contrôlés Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés Processus de recherche 'snmp.exe' - '1' module(s) sont contrôlés Processus de recherche 'SEPCSuite.exe' - '1' module(s) sont contrôlés Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés Processus de recherche 'EDICT.EXE' - '1' module(s) sont contrôlés Processus de recherche 'tcpsvcs.exe' - '1' module(s) sont contrôlés Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés Processus de recherche 'Netscp.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'LClock.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'inetinfo.exe' - '1' module(s) sont contrôlés Processus de recherche 'SAgent2.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'SFAgent.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'rnathchk.exe' - '1' module(s) sont contrôlés Processus de recherche 'msdtc.exe' - '1' module(s) sont contrôlés Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '50' processus ont été contrôlés avec '50' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'F:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'G:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'H:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '52' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' <1-Disk-Local> C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'F:\' Recherche débutant dans 'G:\' <3-Disk-Local > G:\4Doc-Div-DVD-122D-Archivé-030607\1Kotob-Divers-Zip-290507\mawsoo3a_shamla2.zip [0] Type d'archive: ZIP --> mawsoo3a_shamla2.exe [1] Type d'archive: RAR SFX (self extracting) --> Library\Setup.exe [RESULTAT] Contient le cheval de Troie TR/PSW.Stealer.10444297 [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26001 [AVERTISSEMENT] Erreur dans l'initialisation de la quarantaine ! [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4be00a32.qua' ! G:\4Mawso3-Doc-Div-Archivé-DVD-25D-040607\1Maws-AMawso3at-Achamila-280507\mawsoo3a_shamla2.exe [0] Type d'archive: RAR SFX (self extracting) --> Library\Setup.exe [RESULTAT] Contient le cheval de Troie TR/PSW.Stealer.10444297 [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26001 [AVERTISSEMENT] Erreur dans l'initialisation de la quarantaine ! [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b450e54.qua' ! G:\4Qirat-Doc-Div-Archivé-DVD-144D-040607\2Doc-Déj-Archivés-191106\1Doc-Archivé141106\My Pictures\about.Brontok.A.html [RESULTAT] Contient le cheval de Troie TR/Rontobrok.A [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4994a797.qua' ! G:\System Volume Information\_restore{D4980F7D-72FE-4DCF-B7B3-3E15EB744311}\RP5\A0008677.exe [0] Type d'archive: RSRC --> Object [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4955a7e3.qua' ! Recherche débutant dans 'H:\' <2-Disk-Local> H:\1Div-181106\1Doc-Archivé141106\My Pictures\about.Brontok.A.html [RESULTAT] Contient le cheval de Troie TR/Rontobrok.A [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4994a893.qua' ! H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707\comment.htt [RESULTAT] Contient le modèle de détection du virus de script VBS VBS/Starter.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4992a940.qua' ! H:\1Doc-Archivé-21-2-08\1Maroc070807\1DSR-Golden-8005-250707\golden arena home\comment.htt [RESULTAT] Contient le modèle de détection du virus de script VBS VBS/Starter.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4992a941.qua' ! H:\1Doc-Déj-Archivés-191106\1Doc-Archivé141106\My Pictures\about.Brontok.A.html [RESULTAT] Contient le cheval de Troie TR/Rontobrok.A [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4994aa9e.qua' ! Fin de la recherche : jeudi 20 novembre 2008 19:59 Temps nécessaire: 3:42:41 Heure(s) La recherche a été effectuée intégralement 45305 Les répertoires ont été contrôlés 1373022 Des fichiers ont été contrôlés 8 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 8 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 1373013 Fichiers non infectés 9346 Les archives ont été contrôlées 3 Avertissements 8 Consignes 24079 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

sKe69 · Answer

impec ....

Avast n'a pas vu tout cela lol ...


Supprimes tout ce qui se trouve dans la quarantaine d'AntiVir ...


la suite :



1- Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime 
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE 
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE 



Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarres l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis testes ton PC et ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....
Postes aussi un dernier rapport Hijackthis de contrôle ...

Safius · Answer

2. Au redémarage de l'ordi j'ai eu une analyse CHKDSK pour Ntfs.sys

Rien à signaler pour ma navigation internet =)

Voilà le rapport Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:14, on 20/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [E06FDXRC_208828] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: Prayer.lnk = C:\HAD\PTW.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

sKe69 · Answer

Ok ... suite et fin dans l'ordre : ( étape A à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) ) A-Purge de la restauration système *Désactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC *Réactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques *Défragmentation : Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques Note : si tu as un utilitaire pour défragmenter , utilises le à la place ... C-Crées un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

Safius · Answer

A. Fait (Hier, rassure toi ^^)

B. Analyse -> fait
Défragmentation -> Fait à part pour le disque H, le message suivant s'affiche : https://imageshack.com/

C. Je m'y mets

Safius · Answer

Point de restauration créé =)

sKe69 · Answer

impec ...

pour le lecteur H , il faudra faire de la place pour le défragmenter ^^



prb résolu donc : 
http://www.commentcamarche.net/faq/sujet 11365 mettre son poste en probleme resolu

Mais comme tu n'etait pas inscrit sur le site à l'ouverture du topic , et si tu veux mettre le topic en résolu :
-> tu cliques sur le petit /!\ jaune à côté du poste -> tu exposes ta requête auprès de la "conciergerie" de CCM et valides ... 



Content d'avoir pu te rendre service ...


Potasse néanmoins ceci :


Des informations intéressantes pour toi et ton PC :

Version de Windows non légitime ...
info à prendre en compte : 
http://www.commentcamarche.net/faq/sujet 2981 windows j utilise une version piratee

=================================================

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , ne pas installer la barre de recherche pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* testes l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

--> Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox :
télécharges le ici -> http://www.commentcamarche.net/telecharger/telecharger 111 firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) :
 https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

=================================================================
=> Rappel sur les principales causes d'infection : 


* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

->Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P :
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

=================================================================
( merci le sioux )



Voili voilou ...


Bonne continuation à toi ... =)


A+

Safius · Answer

Merci infiniment pour ton aide en tout cas !
Je vais faire la requête pour le sujet résolu. J'essayerai de suivre au maximum tes conseils pour que ça ne m'arrive plus ^^

Merci encoore à Archet aussi qui a su me rediriger evrs quelqu'un qui a su résoudre mon problème.

C'est vraiment sympa ce que vous faites =)
Bonne continuation à toi aussi ^^

++

sKe69 · Answer

Merci et de rein ...  ;)


tchouss ! ....

Safius · Answer

Pas eu besoin de requête apparemment.
SUJET RESOLU =)

Virus Antivirus 2009

179 réponses

Votre réponse

Discussions similaires

Newsletters