win 32 agent ACOC [trj] Résolu

Question

Bonjour,
depuis environ un mois, j'ai des popups (sites de rencontres; informations comme quoi je suis mal protégée contre les virus; casinos...) qui s'affichent à chaque fois que je me connecte à internet. j'ai demandé conseil à une amie qui m'a dit que j'avais un cheval de troie qui ouvrait les portes de mon ordinateur aux popups. elle m'a alors conseillé d'installé ad-aware (j'avais déjà avast), ce que j'ai fait, mais l'analyse complète ne m'a dévoilé que des cookies et des trucs pour se souvenir des documents récents. suite à son conseil, j'ai refais une analyse complète juste après: rien. j'ai donc vérifié sur internet que les popups ne revenaient pas, en vain, ils étaient toujours là.
j'ai alors appris que je pouvais faire un scan minutiux avec avast, ce que j'ai fait, il m'a trouvé un cheval de troie appelé win 32:agent-ACOC [trj], qui normalement aurait du être bloqué par avast quand il est entré dans mon ordinateur... je l'ai mis en quarantaine. j'i refait un scan minutieux jusqte après pour vérifier: rien. je suis allée sur internet, les popups sont toujours là!!! je ne sais pas quoi faire! aidez-moi, s'il vous plait!

Utilisateur anonyme · Answer

Hi,

 
télécharge hijackthis
->  enregistre la cible sous .... "le bureau" 

-> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse 

->Tuto hijackthis(Merci à Balltrap34)

Alut.

kedichon · Answer

re-bonjour,
j'ai installé hijackthis, comme tu m'as dit.
voici ce qu'ils m'ont mis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:07, on 16/11/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Users\User\AppData\Local\iwuucgw.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [iwuucgw] "c:\users\user\appdata\local\iwuucgw.exe" iwuucgw
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/VistaMSNPUpldfr-fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2D3430A-BB3C-4836-884E-92D2192FC8BC}: NameServer = 192.168.1.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Utilisateur anonyme · Answer

Hi,

Alors ton infection et du a un malware "navipromo".

installe NAVILOG1


Remarque concernant la détection de Navilog1 par certains programmes de sécurités :

Certains fichiers de Navilog1.exe peuvent être considérés comme dangereux et donc supprimés ou neutralisés par certains programmes de sécurités. Ce sont des faux positifs et dans certains cas, vous serez amener à désactiver votre protection le temps du téléchargement/utilisation de Navilog1.
/ !\ Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement. / !\

Utilisateurs de Windows Vista :

* Afin que Navilog1 puisse fonctionner correctement, il est recommandé de désactiver l'UAC pendant l'utilisation de Navilog1 (Installation, Utilisation). N'oubliez pas dès l'utilisation de Navilog1 terminé à réactiver l'UAC sur votre Ordinateur.
comment faire pour désactiver l'UAC

* A chaque fois que vous êtes amené à exécuter Navilog1.bat ou Navilog1.exe pour l'installation, ne double-cliquez pas sur le fichier ou raccourci mais faites un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".

Le lancement de l'installation de Navilog1 se fait en exécutant Navilog1.exe

(Si vous avez téléchargé navilog1.zip, Veuillez auparavant décompresser ce fichier)

Une fois l'installation terminé, pour lancer le fix :

- en utilisant le raccourci crée sur le bureau : Navilog1
- Via le poste de travail, en exécutant le fichier Navilog1.bat se trouvant dans %program files%Navilog1

Après le choix de la langue et les messages d'avertissement, le menu s'affiche.

Faite le choix 1

Effectue la vérification du système à la recherche de l'adware. Un scan avec catchme de GMER est également éffectué pour Windows XP. Cette analyse peut durer une dizaine de minutes. Patientez alors jusqu'au message «Analyse terminée le ....». Appuyez sur une touche comme demandé et le bloc note va souvrir , Enregistrez-le sur votre disque. Puis Ouvrez-le et Copiez-Collez l'intégralité de ce rapport sur le forum qui vous l'auras demandé.

(si le bloc-note ne s'ouvre pas : Rendez-vous dans votre poste de travail, à la racine du disque C vous trouverez le rapport sous le nom de fixnavi.txt)

Attention : Ne lancez-pas la partie désinfection (choix 2, 3 ou 4) sans l'avis/accord express de l'Helper qui vous as pris en charge sur le forum d'aide ou vous aurez exposer votre problème.


Alut.

kedichon · Answer

voilà ce qu'on me dit:

Search Navipromo version 3.6.9 commencé le 16/11/2008 à 16:13:03,80

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "User" 

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16757 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\user\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\User\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\User\AppData\Roaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\User\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\User\AppData\Local" *



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\User\AppData\Local\Microsoft" :


* Dans "C:\Users\User\AppData\Local" :

iwuucgw.exe trouvé !
iwuucgw.dat trouvé !
iwuucgw_nav.dat trouvé !
iwuucgw_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 16/11/2008 à 16:26:24,32 ***

merci

Utilisateur anonyme · Answer

Hi,

Navilog1 option2

Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement.

Double-clique sur le raccourci Navilog1 présent sur ton Bureau.

Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.
(Si ton PC ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le Bloc-notes va s'ouvrir.
Sauvegarde le rapport sur ton Bureau de manière à le retrouver.
Referme le Bloc-notes. Ton Bureau va réapparaître

PS : Si ton Bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Cela te fera apparaître ton Bureau

--> Poste le rapport de Navilog1 (contenu du fichier navi2.txt) en réponse et dis moi si tu constates des améliorations.

/!\Pense à ré-activer ton antivirus et antispyware résident avant de te reconnecter sur "la toile"./!\

Alut.

kedichon · Answer

voilà... mon fichier s'appelle cleannavi par contre (pas navi2)

Clean Navipromo version 3.6.9 commencé le 16/11/2008 à 17:04:20,12

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "User" 

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16757
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *


* Suppression dans "C:\Users\User\AppData\Local\Microsoft" *


* Suppression dans "C:\Users\User\AppData\Local" *



*** Suppression dossiers dans "C:\Windows" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Suppression dossiers dans "C:\ProgramData" ***


*** Suppression dossiers dans c:\users\user\appdataoaming\micros~1\windows\startm~1\programs ***


*** Suppression dossiers dans "C:\Users\User\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\User\AppData\Roaming" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\User\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\Windows\system32" *


* Dans "C:\Users\User\AppData\Local\Microsoft" *


* Dans "C:\Users\User\AppData\Local" *


iwuucgw.exe trouvé ! 
Copie iwuucgw.exe réalisée avec succès !
iwuucgw.exe supprimé !

iwuucgw.dat trouvé ! 
Copie iwuucgw.dat réalisée avec succès !
iwuucgw.dat supprimé !

iwuucgw_nav.dat trouvé ! 
Copie iwuucgw_nav.dat réalisée avec succès !
iwuucgw_nav.dat supprimé !

iwuucgw_navps.dat trouvé ! 
Copie iwuucgw_navps.dat réalisée avec succès !
iwuucgw_navps.dat supprimé !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !


*** Nettoyage terminé le 16/11/2008 à 17:12:29,10 ***


bon, pour le moment, pas de trace de popups, j'espère que ça va continuer!
merci bien!

Utilisateur anonyme · Answer

Hi,

-Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

- Mets le à jour

---
- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Alut.

kedichon · Answer

ils m'ont trouvé un trojan dialer, que j'ai donc supprimé (supprimer la sélection)
voilà le rapport

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1402
Windows 6.0.6000 

16/11/2008 18:53:01
mbam-log-2008-11-16 (18-53-01).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 161055
Temps écoulé: 1 hour(s), 14 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7aa32fc7-133b-4ae7-998e-ced0d9829b12} (Trojan.Dialer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


merci! ^_^

Utilisateur anonyme · Answer

Hi,

Refait un hijackthis.

Alut.

kedichon · Answer

voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:14, on 16/11/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Users\User\Documents\gba\Visual Boy Advance 1.8.0-beta\VisualBoyAdvance.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/VistaMSNPUpldfr-fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2D3430A-BB3C-4836-884E-92D2192FC8BC}: NameServer = 192.168.1.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Utilisateur anonyme · Answer

Hi,

Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases

O4 - Startup: CCC.lnk = ? 

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 

Ensuite clique sur "Fix checked"

kedichon · Answer

voilà, c'est fait!
j'ai pas trop compris comment tu t'y retrouves dans ce charabia (enfin, surtout, comment tu sais ce qui est bien et pas bien), mais tu as l'air de savoir ce que tu dis, c'est l'essenciel!
merci bien pour ton aide, en tout cas ça a l'air de marcher pour le moment...!

Utilisateur anonyme · Answer

Hi,

Télécharge Lop S&D ici :

Lop S&D

==>Double-clique dessus pour lancer l'installation

==>Puis double-clique sur le raccourci Lop S&D présent sur ton bureau

==>Séléctionne la langue souhaitée 

 ==> Puis choisis l'Option 1 ( Recherche )

==>>Patiente jusqu'à la fin du scan

Poste le rapport généré ( C:lopR.txt )

Alut.

kedichon · Answer

eh bé! je pensait pas qu'il fallait autant de choses pour mon pauvre PC!!

voilà le rapport:


   --------------------\  Lop S&D 4.2.4-9c   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
   X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-56 )
   BIOS : BIOS Version : 1.08C
   USER : User ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1201 [VPS 081116-0] 4.8.1201 (Activated)
   C:\ (Local Disk) - NTFS - Total:149 Go (Free:87 Go)
   D:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
   Option : [1] ( 16/11/2008|22:40 )

   [ UAC => 0 ]
 
   --------------------\  Listing des dossiers dans Local

   [01/06/2008|15:10] C:\Users\User\AppData\Local\Adobe
   [02/11/2008|13:43] C:\Users\User\AppData\Local\Apple
   [02/11/2008|18:28] C:\Users\User\AppData\Local\Apple Computer
   [27/05/2008|13:58] C:\Users\User\AppData\Local\Application Data 
   [27/05/2008|14:44] C:\Users\User\AppData\Local\ATI
   [08/10/2008|14:34] C:\Users\User\AppData\Local\d3d9caps.dat
   [16/11/2008|19:03] C:\Users\User\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
   [10/10/2008|20:17] C:\Users\User\AppData\Local\GDIPFONTCACHEV1.DAT
   [16/11/2008|14:34] C:\Users\User\AppData\Local\gfiayyb.bat
   [27/05/2008|13:58] C:\Users\User\AppData\Local\Historique 
   [16/11/2008|20:00] C:\Users\User\AppData\Local\IconCache.db
   [26/07/2008|23:11] C:\Users\User\AppData\Local\Installer1484
   [26/07/2008|23:00] C:\Users\User\AppData\Local\Installer3576
   [16/11/2008|17:12] C:\Users\User\AppData\Local\Microsoft
   [15/08/2008|00:43] C:\Users\User\AppData\Local\Microsoft Games
   [03/07/2008|14:59] C:\Users\User\AppData\Local\Shareaza
   [16/11/2008|22:24] C:\Users\User\AppData\Local\Temp
   [27/05/2008|13:58] C:\Users\User\AppData\Local\Temporary Internet Files 
   [01/06/2008|14:47] C:\Users\User\AppData\Local\VirtualStore
 
   --------------------\  Tâches planifiées dans C:\Windows	asks

   [16/11/2008 21:36][--ah-----] C:\Windows	asks\SA.DAT
   [16/11/2008 20:00][--a------] C:\Windows	asks\SCHEDLGU.TXT

   --------------------\  Listing des dossiers dans C:\ProgramData
   
   [02/11/2008|13:47] C:\ProgramData\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
   [16/11/2008|16:45] C:\ProgramData\Adobe
   [01/06/2008|14:36] C:\ProgramData\ALM
   [02/11/2008|13:41] C:\ProgramData\Apple
   [02/11/2008|13:46] C:\ProgramData\Apple Computer
   [02/11/2006|14:02] C:\ProgramData\Application Data 
   [27/05/2008|13:56] C:\ProgramData\Bureau 
   [02/11/2006|14:02] C:\ProgramData\Desktop 
   [02/11/2006|14:02] C:\ProgramData\Documents 
   [11/10/2008|13:23] C:\ProgramData\eMule
   [27/05/2008|13:56] C:\ProgramData\Favoris 
   [02/11/2006|14:02] C:\ProgramData\Favorites 
   [01/06/2008|15:03] C:\ProgramData\FLEXnet
   [09/11/2008|13:28] C:\ProgramData\Lavasoft
   [16/11/2008|17:33] C:\ProgramData\Malwarebytes
   [27/05/2008|13:56] C:\ProgramData\Menu D‚marrer 
   [01/06/2008|15:02] C:\ProgramData\Microsoft
   [27/05/2008|13:56] C:\ProgramData\ModŠles 
   [02/11/2006|14:02] C:\ProgramData\Start Menu 
   [02/11/2006|14:02] C:\ProgramData\Templates 
   [03/07/2008|16:35] C:\ProgramData\WLInstaller

   --------------------\  Listing des dossiers dans C:\Program Files

   [04/11/2008|18:19] C:\Program Files\12Ghosts
   [16/11/2008|16:44] C:\Program Files\Adobe
   [01/06/2008|14:43] C:\Program Files\Alwil Software
   [02/11/2008|13:43] C:\Program Files\Apple Software Update
   [27/05/2008|14:22] C:\Program Files\ATI
   [27/05/2008|14:22] C:\Program Files\ATI Technologies
   [02/11/2008|13:45] C:\Program Files\Bonjour
   [09/11/2008|13:21] C:\Program Files\Common Files
   [27/05/2008|13:56] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]
   [27/05/2008|14:26] C:\Program Files\InstallShield Installation Information
   [02/11/2008|13:45] C:\Program Files\Internet Explorer
   [03/07/2008|14:41] C:\Program Files\Inventel
   [02/11/2008|13:46] C:\Program Files\iPod
   [02/11/2008|13:47] C:\Program Files\iTunes
   [01/06/2008|14:58] C:\Program Files\K-Lite Codec Pack
   [09/11/2008|13:26] C:\Program Files\Lavasoft
   [16/11/2008|17:33] C:\Program Files\Malwarebytes' Anti-Malware
   [02/11/2006|13:37] C:\Program Files\Microsoft Games
   [01/06/2008|15:02] C:\Program Files\Microsoft Office
   [27/05/2008|14:25] C:\Program Files\Motorola
   [27/05/2008|23:39] C:\Program Files\Movie Maker
   [02/11/2006|13:37] C:\Program Files\MSBuild
   [02/11/2006|13:37] C:\Program Files\MSN
   [16/11/2008|17:12] C:\Program Files\Navilog1
   [05/08/2008|15:24] C:\Program Files\OrangeHSS
   [02/11/2008|13:45] C:\Program Files\QuickTime
   [27/05/2008|14:25] C:\Program Files\Realtek
   [02/11/2006|13:37] C:\Program Files\Reference Assemblies
   [05/08/2008|15:14] C:\Program Files\Securitoo
   [16/11/2008|15:56] C:\Program Files\Trend Micro
   [02/11/2006|14:01] C:\Program Files\Uninstall Information
   [27/05/2008|14:40] C:\Program Files\Windows Calendar
   [27/05/2008|23:39] C:\Program Files\Windows Collaboration
   [04/07/2008|18:28] C:\Program Files\Windows Defender
   [27/05/2008|23:39] C:\Program Files\Windows Journal
   [03/07/2008|17:17] C:\Program Files\Windows Live
   [20/10/2008|18:50] C:\Program Files\Windows Mail
   [04/07/2008|18:28] C:\Program Files\Windows Media Player
   [27/05/2008|13:56] C:\Program Files\Windows NT
   [27/05/2008|23:39] C:\Program Files\Windows Photo Gallery
   [04/07/2008|18:28] C:\Program Files\Windows Sidebar
   [01/06/2008|14:46] C:\Program Files\WinRAR

   --------------------\  Listing des dossiers dans C:\Program Files\Common Files

   [16/11/2008|16:45] C:\Program Files\Common Files\Adobe
   [02/11/2008|13:44] C:\Program Files\Common Files\Apple
   [01/06/2008|14:38] C:\Program Files\Common Files\Control Panels
   [01/06/2008|15:03] C:\Program Files\Common Files\Designer
   [03/07/2008|14:46] C:\Program Files\Common Files\France Telecom
   [27/05/2008|14:23] C:\Program Files\Common Files\InstallShield
   [01/06/2008|14:21] C:\Program Files\Common Files\Macrovision Shared
   [16/08/2008|16:39] C:\Program Files\Common Files\microsoft shared
   [02/11/2006|12:18] C:\Program Files\Common Files\Services
   [02/11/2006|12:18] C:\Program Files\Common Files\SpeechEngines
   [04/07/2008|18:28] C:\Program Files\Common Files\System
   [03/07/2008|17:17] C:\Program Files\Common Files\WindowsLiveInstaller
   [09/11/2008|13:21] C:\Program Files\Common Files\Wise Installation Wizard

   --------------------\  Process

   ( 61 Processes )

   iexplore.exe ~ [PID:5900]

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   C:\Users\User\AppData\Roaming\MICROS~1\Windows\Cookies\user@advertising[2].txt
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-11-16 22:40:25
   Windows 6.0.6000  NTFS
   scanning hidden processes ...
   scanning hidden files ...
   C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ATOOG6X0\01[2].htm 256 bytes
   scan completed successfully
   hidden processes: 0
   hidden files: 2
 
   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\User\Documents\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen
   C:\Users\User\Documents\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen\Keygen
   C:\Users\User\Documents\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen\setupfrepro.exe
   C:\Users\User\Documents\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen\Keygen\KeyMaker.exe
   C:\Users\User\Documents\sans-importance\WinRAR.v3.70.FR.Incl-Crack
   C:\Users\User\Documents\sans-importance\WinRAR.v3.70.FR.Incl-Crack\Crack
   C:\Users\User\Documents\sans-importance\WinRAR.v3.70.FR.Incl-Crack\wrar370fr.exe


   [F:9][D:3]-> C:\Users\User\AppData\Local\Temp
   [F:29][D:0]-> C:\Users\User\AppData\Roaming\MICROS~1\Windows\Cookies
   [F:853][D:6]-> C:\Users\User\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
   [F:8][D:2]-> C:\$Recycle.Bin

   1 - "C:\Lop SD\LopR_1.txt" - 16/11/2008|22:42 - Option : [1]

   --------------------\  Fin du rapport a 22:42:12
   [ UAC => 1 ]

bye!

Utilisateur anonyme · Answer

Hi,

C:\Users\User\Documents\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen
C:\Users\User\Documents\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen\Keygen
C:\Users\User\Documents\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen\setupfrepro.exe
C:\Users\User\Documents\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen\Keygen\KeyMaker.exe
C:\Users\User\Documents\sans-importance\WinRAR.v3.70.FR.Incl-Crack
C:\Users\User\Documents\sans-importance\WinRAR.v3.70.FR.Incl-Crack\Crack
C:\Users\User\Documents\sans-importance\WinRAR.v3.70.FR.Incl-Crack\wrar370fr.exe


Un bon conseil vire tes cracks et autres car ils sont vecteurs d'infections très difficile a virer.

fait ceci,

Télécharges- FindyKill de Chiquitine29 :

FindyKill de Chiquitine29

->-Enregistres le sur ton bureau et pas ailleurs !

-!! Déconnectes toi et fermes toute applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Cliques sur "-FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.


-Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

Alut.

kedichon · Answer

voilà le rapport:



----------------- FindyKill V4.700 ------------------

* User : User - AMILO
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 13/11/08 par Chiquitine29
* Recherche effectuée à 22:59:04 le 16/11/2008
* Windows Vista - Internet Explorer 7.0.6000.16757
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Presence des fichiers dans C: 
 
Found ! [27/05/2008 14:20] - C:\fsc.tmp 
 
»»»» Presence des fichiers dans C:\Windows 
 
 
»»»» Presence des fichiers dans C:\Windows\Prefetch 
 
 
»»»» Presence des fichiers dans C:\Windows\system32 
 
 
»»»» Presence des fichiers dans C:\Windows\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Users\User\AppData\Roaming 
 
 
»»»» Presence des fichiers dans C:\Users\User\AppData\Local\Temp 
 
 
»»»» Presence des fichiers dans C:\Users\User\Local Settings\Temporary Internet Files\Content.IE5 
 
 
--------------- [ Registre / Startup ] ----------------  
 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Windows Defender    REG_EXPAND_SZ    %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    RtHDVCpl    REG_SZ    RtHDVCpl.exe
    SMSERIAL    REG_SZ    C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    Adobe_ID0EYTHM    REG_SZ    C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
    avast!    REG_SZ    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    SystrayORAHSS    REG_SZ    "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
    ORAHSSSessionManager    REG_SZ    C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
    QuickTime Task    REG_SZ    "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    Adobe Reader Speed Launcher    REG_SZ    "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Sidebar    REG_SZ    C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    (par d‚faut)    REG_SZ    
    StartCCC    REG_SZ    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    MsnMsgr    REG_SZ    "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    WMPNSCFG    REG_SZ    C:\Program Files\Windows Media Player\WMPNSCFG.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater
 
--------------- [ Registre / Clés infectieuses ] ----------------  
 
 
 
--------------- [ Etat / Services ] ---------------- 
 


+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

 Ndisuio - Type de démarrage = 3 
 
 EapHost - Type de démarrage = 3 
 
 Wlansvc - Type de démarrage = 2 
 
 /!\ SharedAccess - Type de démarrage = 4 
 
 wuauserv - Type de démarrage = 2 
 
 wscsvc - Type de démarrage = 2 
 
 WinDefend - Type de démarrage = 2 
 
 
 
--------------- [ Recherche dans supports amovibles] ----------------  
 
 
+- Informations : 

C: - Lecteur fixe
 
+- presence des fichiers :  

Found ! [27/05/2008 14:20][d--------] - C:\fsc.tmp 
 
 
--------------- [ Registre / Mountpoint2 ] ----------------  
 
 
-> Not found ! 
 
 
------------------- ! Fin du rapport ! --------------------

Utilisateur anonyme · Answer

Hi,

--> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir

--> Double-clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 2 (Suppression)

/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Alut.

kedichon · Answer

heu...mon ordinateur n'a redémarré qu'une fois, et là, il ne "réfléchit" plus (le voyant ne s'allume plus) depuis plusieurs minutes.
je dois encore attendre?

Utilisateur anonyme · Answer

Re,

OUI.

Alut.

kedichon · Answer

y a toujours rien de nouveau... je m'inquiète un peu... mon ordi ne réfléchit plus, et ne redémarre toujours pas, comme si de rien n'était...

Utilisateur anonyme · Answer

Hi,

Redèmare ton pc et refait un hijackthis.

Alut.

kedichon · Answer

je crois que y a un problème, j'ai eu ce message quand j'ai fait "do a scan only":

"For some reason your system denied write access to the Hosts file. If any Hijacked domains are in this file, HijackThis may NOT be able to fix this.

If that happens, you need to edit the file yourself. To do this, click Start, Run and type:

   notepad C:\Windows\System32\drivers\etc\hosts

and press Enter. Find the line(s) HijackThis reports and delete them.
Save the fileas 'hosts.' (with quotes), and reboot.

For Vista: simply, exit HijackThis, right click on the HijackThis icon, choose 'Run as administrator' "

dois-je faire ce que la dernière ligne me dit, à savoir de quiter HijackThis et cliquer droit?

Utilisateur anonyme · Answer

Hi,

Bon attend fait ceci:

Télécharge toolscleaner sur ton Bureau : 

toolscleaner

* Double-clique sur ToolsCleaner2.exe et laisse le travailler 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer. 
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=

&#9654; Télécharge [url=http://siri.urz.free.fr/RHosts.php] RHosts (de SiRi)[/url]

&#9654; Double clique dessus pour l'exécuter

&#9654; et cliques sur " Restore original Hosts "

ps : c est normal que rien ne se passe

&#9654; ensuire redémarre le pc
=*=*=*=*=*=*=*=*=*=*=*=*=**=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*
télécharge hijackthis
->  enregistre la cible sous .... "le bureau" 

-> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse 

->Tuto hijackthis(Merci à Balltrap34)

Alut.

kedichon · Answer

heu...quand je lance toolscleaner, le programme ne répond pas au bout de qqs secondes...

Utilisateur anonyme · Answer

Hi,

oui c'est normal sous vista.Laisse le travailler.

Alut.

kedichon · Answer

j'ai cliqué sur "rechercher", et c'est là qu'il me dit en haut de la fenêtre "ne répond pas". je laisse ça comme ça, ou, pour le laisser travailler, il ne faut pas cliquer sur "rechercher"?
désolé, j'espère que tu n'as pas à te lever tôt demain, moi si, ms tant pis, j'y passe toute la nuit si c'est possible...!

kedichon · Answer

oublies!
c'est bon, il m'a trouvé des trucs!

Utilisateur anonyme · Answer

Hi,

tu clic sur =>rechercher

Ensuite tu le laisse travailler.

Alut.

kedichon · Answer

faut vraiment que je supprime tout ça? c'est pas les trucs que tu m'as filé?

Utilisateur anonyme · Answer

Hi,

si mais tu doit refaire un truc avant .

Post 23.

Alut.

kedichon · Answer

ba ya marqué "cliquer sur rechercher" puis "supprimer pour finaliser"... et après ya les autres choses a faire...
donc faut que je supprime les tools avant ou après telecharger Rhosts et (re)HijackThis?

Utilisateur anonyme · Answer

Hi,

avant et ensuite tu fait host et ensuite tu fait un hijackthis.

Alut.

kedichon · Answer

ya des ERREUR DE SUPPRESSION partout (ou presque)...est-ce normal?

Utilisateur anonyme · Answer

Hi,

non pas bien.

Toutefois pour hijackthis le mieux serait d'utiliser ce log et de le faire avec.

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
CCLEANER

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

Ensuite dans la partie=>OUTIL,tu cherche hijackthis et tu le supprime via ccleaner.

Ensuite tu fait une recherche d'erreur .

Alut;

kedichon · Answer

dans la partie OUTIL, quand j'ai délectioné HijackThis, je fais "effacer entrée" ou "lancer la désinstallation", stp?

Utilisateur anonyme · Answer

Hi,

lancer la désinstallation.

Alut.

kedichon · Answer

on me dit "HijackThis is already running"... je fais OK mais il est toujours dans outils après.

Utilisateur anonyme · Answer

Hi,

tu nettoie le registre.

Alut.

kedichon · Answer

j'ai fait "réparer les erreurs" la première fois, puis je n'avais plus d'erreurs, et quand j'ai refait chercher des erreurs, ils m'en ont encore trouvé d'autres... je les répare encore?

Utilisateur anonyme · Answer

Hi,

oui jusqu'a temps qu'il en es plus du tout.

Alut.

kedichon · Answer

c'est bon, ya plus d'erreurs, ms on me dit encore que "HijackThis is already running"

Utilisateur anonyme · Answer

Hi,

fait les fichiers host ensuite tu reessai.

Alut.

kedichon · Answer

de quoi "fais les fichiers hosts"? le truc du message 23?

Utilisateur anonyme · Answer

Hi,

oui.

Alut.

kedichon · Answer

quand je double clique, ils me mettent "Windows 9x, Me, NT, 2000, 2003, XP requis" puis "OK" (ya pas le choix) mais moi, j'ai vista, c'est grave?

Utilisateur anonyme · Answer

Hi,

Vas y fait le c'est requis on verras bien.

Alut.

kedichon · Answer

ba, en fait, j'ai déjà dit au moins 10 fois OK a ce message (heureusement que c'était pas grave!!!), mais ça a rien fait a part enlever la fenêtre qui mettait le message... c'est que ça marche pas avec vista, c'est ça? et là, j'ai réessayé de virer HijackThis, ms il est toujours "already running"...

Utilisateur anonyme · Answer

Hi,

Il faut pour cela l'executer en tant qu'administrateur aussi??

Alut.

kedichon · Answer

ça fout encore plus les jetons de l'ouvrir en tant qu'administrateur!!!
ils me mettent un message comme quoi un logiciel veut accéder a mon ordi, j'ai di OK et ils remettent le même message "windows 9x, Me, NT, 2000, 2003, XP requis".....

Utilisateur anonyme · Answer

Hi,

pour hijackthis.

Alut.

kedichon · Answer

???? je fais quoi, stp?

Utilisateur anonyme · Answer

Hi,

hijackthis.

Alut.

kedichon · Answer

bon, alors, quand je veut faire HijackThis, déjà, ya plu l'icone sur le bureau, ms ça c'est pas très grave en soi je pense.
ensuite, quand je le retrouve ds mes programmes, je clik dessus, je le fais s'éxecuter, et il met le même message comme quoi "HijackThis is already running".
ensuite, si je le télécharge à nouveau, il s'éxecute, me demande où je veut l'installer, et me redit encore ce message...

Utilisateur anonyme · Answer

Hi,

relance findykill en option "recherche".

Alut.

kedichon · Answer

"accès refusé"
faut l'ouvrir en tant qu'administrateur?

Utilisateur anonyme · Answer

Hi,


OUI.

Alut.

geoffrey5 · Answer

Salut !!

- Presser les touches Ctrl+Alt+Del pour ouvrir le gestionnaire des tâches.

- Cliquer sur l'onglet "Processus"

- Faire un clic gauche sur hijackthis.exe et cliquer sur "Terminer le processus".

ensuite réessaye hijackthis

kedichon · Answer

j'ai exécuté Findykill en tant qu'administrateur, voilà ce qui est marqué:
"le chemin d'accès est introuvable
commande ECHO désactivée"

j'ai fait une bêtise?

par contre le raccourci de HijackThis est de nouveau sur le bureau, sans pour autant re-fonctionner...

geoffrey5 · Answer

http://www.commentcamarche.net/forum/affich 9450219 win 32 agent acoc trj?page=3#57

kedichon · Answer

MERCI geoffrey5 !!!!! HijackThis remarche!!!!

kedichon · Answer

par contre, ya tj le pb de Hosts.......

geoffrey5 · Answer

de rien  ;-)

fais un rapport stp

kedichon · Answer

voilà: 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:14, on 16/11/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Users\User\Documents\gba\Visual Boy Advance 1.8.0-beta\VisualBoyAdvance.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/VistaMSNPUpldfr-fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2D3430A-BB3C-4836-884E-92D2192FC8BC}: NameServer = 192.168.1.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

geoffrey5 · Answer

&#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

&#x25B6; Va dans démarrer puis panneau de configuration 
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs" 
&#x25B6; Clique ensuite sur désactiver et valide.


&#x25B6; Télécharger et enregistrer lopSD sur le Bureau 
 
&#x25B6; Double-clic Lop S&D
 
&#x25B6; Faire l'installation 

&#x25B6; Fermer toutes les applications 

&#x25B6; Le lancer par un double-clic sur le raccourci qui est sur le bureau 
Avec VISTA => clic-droit et => Exécuter en tant qu'administrateur
 
&#x25B6; Taper F pour français , puis presser entrée 

&#x25B6; Taper 1 

&#x25B6; Presser Entrée 

&#x25B6; Le PC va redémarrer 
Note= si l'antivirus annonce une infection dans TEMP , l'ignorer
 
&#x25B6; Attendre l'apparition du rapport 
&#x25B6; Copier le rapport et le coller dans la réponse 
le rapport se trouve aussi à C:\lopR

kedichon · Answer

voilà le rapport:


   --------------------\  Lop S&D 4.2.4-9c   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
   X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-56 )
   BIOS : BIOS Version : 1.08C
   USER : User ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1201 [VPS 081116-1] 4.8.1201 (Activated)
   C:\ (Local Disk) - NTFS - Total:149 Go (Free:88 Go)
   D:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
   Option : [1] ( 17/11/2008| 3:59 )

   [ UAC => 0 ]
 
   --------------------\  Listing des dossiers dans Local

   [01/06/2008|15:10] C:\Users\User\AppData\Local\Adobe
   [02/11/2008|13:43] C:\Users\User\AppData\Local\Apple
   [02/11/2008|18:28] C:\Users\User\AppData\Local\Apple Computer
   [27/05/2008|13:58] C:\Users\User\AppData\Local\Application Data 
   [27/05/2008|14:44] C:\Users\User\AppData\Local\ATI
   [08/10/2008|14:34] C:\Users\User\AppData\Local\d3d9caps.dat
   [16/11/2008|19:03] C:\Users\User\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
   [10/10/2008|20:17] C:\Users\User\AppData\Local\GDIPFONTCACHEV1.DAT
   [16/11/2008|14:34] C:\Users\User\AppData\Local\gfiayyb.bat
   [27/05/2008|13:58] C:\Users\User\AppData\Local\Historique 
   [17/11/2008|00:41] C:\Users\User\AppData\Local\IconCache.db
   [26/07/2008|23:11] C:\Users\User\AppData\Local\Installer1484
   [26/07/2008|23:00] C:\Users\User\AppData\Local\Installer3576
   [16/11/2008|17:12] C:\Users\User\AppData\Local\Microsoft
   [15/08/2008|00:43] C:\Users\User\AppData\Local\Microsoft Games
   [03/07/2008|14:59] C:\Users\User\AppData\Local\Shareaza
   [17/11/2008|03:58] C:\Users\User\AppData\Local\Temp
   [27/05/2008|13:58] C:\Users\User\AppData\Local\Temporary Internet Files 
   [17/11/2008|00:45] C:\Users\User\AppData\Local\VirtualStore
 
   --------------------\  Tâches planifiées dans C:\Windows	asks

   [17/11/2008 00:44][--ah-----] C:\Windows	asks\SA.DAT
   [17/11/2008 00:42][--a------] C:\Windows	asks\SCHEDLGU.TXT

   --------------------\  Listing des dossiers dans C:\ProgramData
   
   [02/11/2008|13:47] C:\ProgramData\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
   [16/11/2008|16:45] C:\ProgramData\Adobe
   [01/06/2008|14:36] C:\ProgramData\ALM
   [02/11/2008|13:41] C:\ProgramData\Apple
   [02/11/2008|13:46] C:\ProgramData\Apple Computer
   [02/11/2006|14:02] C:\ProgramData\Application Data 
   [27/05/2008|13:56] C:\ProgramData\Bureau 
   [02/11/2006|14:02] C:\ProgramData\Desktop 
   [02/11/2006|14:02] C:\ProgramData\Documents 
   [11/10/2008|13:23] C:\ProgramData\eMule
   [27/05/2008|13:56] C:\ProgramData\Favoris 
   [02/11/2006|14:02] C:\ProgramData\Favorites 
   [01/06/2008|15:03] C:\ProgramData\FLEXnet
   [09/11/2008|13:28] C:\ProgramData\Lavasoft
   [16/11/2008|17:33] C:\ProgramData\Malwarebytes
   [27/05/2008|13:56] C:\ProgramData\Menu D‚marrer 
   [01/06/2008|15:02] C:\ProgramData\Microsoft
   [27/05/2008|13:56] C:\ProgramData\ModŠles 
   [02/11/2006|14:02] C:\ProgramData\Start Menu 
   [02/11/2006|14:02] C:\ProgramData\Templates 
   [03/07/2008|16:35] C:\ProgramData\WLInstaller

   --------------------\  Listing des dossiers dans C:\Program Files

   [04/11/2008|18:19] C:\Program Files\12Ghosts
   [16/11/2008|16:44] C:\Program Files\Adobe
   [01/06/2008|14:43] C:\Program Files\Alwil Software
   [02/11/2008|13:43] C:\Program Files\Apple Software Update
   [27/05/2008|14:22] C:\Program Files\ATI
   [27/05/2008|14:22] C:\Program Files\ATI Technologies
   [02/11/2008|13:45] C:\Program Files\Bonjour
   [17/11/2008|02:18] C:\Program Files\CCleaner
   [09/11/2008|13:21] C:\Program Files\Common Files
   [27/05/2008|13:56] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]
   [27/05/2008|14:26] C:\Program Files\InstallShield Installation Information
   [02/11/2008|13:45] C:\Program Files\Internet Explorer
   [03/07/2008|14:41] C:\Program Files\Inventel
   [02/11/2008|13:46] C:\Program Files\iPod
   [02/11/2008|13:47] C:\Program Files\iTunes
   [01/06/2008|14:58] C:\Program Files\K-Lite Codec Pack
   [09/11/2008|13:26] C:\Program Files\Lavasoft
   [16/11/2008|17:33] C:\Program Files\Malwarebytes' Anti-Malware
   [02/11/2006|13:37] C:\Program Files\Microsoft Games
   [01/06/2008|15:02] C:\Program Files\Microsoft Office
   [27/05/2008|14:25] C:\Program Files\Motorola
   [27/05/2008|23:39] C:\Program Files\Movie Maker
   [02/11/2006|13:37] C:\Program Files\MSBuild
   [02/11/2006|13:37] C:\Program Files\MSN
   [16/11/2008|17:12] C:\Program Files\Navilog1
   [05/08/2008|15:24] C:\Program Files\OrangeHSS
   [02/11/2008|13:45] C:\Program Files\QuickTime
   [27/05/2008|14:25] C:\Program Files\Realtek
   [02/11/2006|13:37] C:\Program Files\Reference Assemblies
   [05/08/2008|15:14] C:\Program Files\Securitoo
   [16/11/2008|15:56] C:\Program Files\Trend Micro
   [02/11/2006|14:01] C:\Program Files\Uninstall Information
   [27/05/2008|14:40] C:\Program Files\Windows Calendar
   [27/05/2008|23:39] C:\Program Files\Windows Collaboration
   [04/07/2008|18:28] C:\Program Files\Windows Defender
   [27/05/2008|23:39] C:\Program Files\Windows Journal
   [03/07/2008|17:17] C:\Program Files\Windows Live
   [20/10/2008|18:50] C:\Program Files\Windows Mail
   [04/07/2008|18:28] C:\Program Files\Windows Media Player
   [27/05/2008|13:56] C:\Program Files\Windows NT
   [27/05/2008|23:39] C:\Program Files\Windows Photo Gallery
   [04/07/2008|18:28] C:\Program Files\Windows Sidebar
   [01/06/2008|14:46] C:\Program Files\WinRAR

   --------------------\  Listing des dossiers dans C:\Program Files\Common Files

   [16/11/2008|16:45] C:\Program Files\Common Files\Adobe
   [02/11/2008|13:44] C:\Program Files\Common Files\Apple
   [01/06/2008|14:38] C:\Program Files\Common Files\Control Panels
   [01/06/2008|15:03] C:\Program Files\Common Files\Designer
   [03/07/2008|14:46] C:\Program Files\Common Files\France Telecom
   [27/05/2008|14:23] C:\Program Files\Common Files\InstallShield
   [01/06/2008|14:21] C:\Program Files\Common Files\Macrovision Shared
   [16/08/2008|16:39] C:\Program Files\Common Files\microsoft shared
   [02/11/2006|12:18] C:\Program Files\Common Files\Services
   [02/11/2006|12:18] C:\Program Files\Common Files\SpeechEngines
   [04/07/2008|18:28] C:\Program Files\Common Files\System
   [03/07/2008|17:17] C:\Program Files\Common Files\WindowsLiveInstaller
   [09/11/2008|13:21] C:\Program Files\Common Files\Wise Installation Wizard

   --------------------\  Process

   ( 63 Processes )

   iexplore.exe ~ [PID:5668]

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-11-17 04:00:14
   Windows 5.1.2600 Service Pack 2 NTFS
   detected NTDLL code modification:
   ZwEnumerateKey, ZwQueryKey, ZwOpenKey, ZwClose, ZwEnumerateValueKey, ZwQueryValueKey, ZwOpenFile, ZwQueryDirectoryFile, ZwQuerySystemInformation
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 1
 
   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !

   [F:9][D:4]-> C:\Users\User\AppData\Local\Temp
   [F:29][D:1]-> C:\Users\User\AppData\Roaming\MICROS~1\Windows\Cookies
   [F:55][D:4]-> C:\Users\User\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
   [F:8][D:2]-> C:\$Recycle.Bin

   1 - "C:\Lop SD\LopR_1.txt" - 17/11/2008| 4:01 - Option : [1]

   --------------------\  Fin du rapport a  4:01:26
   [ UAC => 1 ]

Utilisateur anonyme · Answer

Hi,

c'est quoi sa:

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 04:00:14
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwEnumerateKey, ZwQueryKey, ZwOpenKey, ZwClose, ZwEnumerateValueKey, ZwQueryValueKey, ZwOpenFile, ZwQueryDirectoryFile, ZwQuerySystemInformation
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 1

geoffrey5 · Answer

tes fichiers hosts sont propres  ;-)

relance hijackthis en cliquant sur scan only et coches ces lignes stp :

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"     
O4 - Startup: CCC.lnk = ? 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime     
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"     

puis tu cliques sur fix checked.

Télécharge le SP1 de vista : http://www.microsoft.com/downloads/details.aspx?FamilyID=b0c7136d-5ebb-413b-89c9-cb3d06d12674&displaylang=fr

ensuite :

&#x25B6; Télécharge RegCleaner

&#x25B6; Une fois installé, double-clique sur son icône pour l'exécuter

&#x25B6; Dans la barre de menu, clique sur Options puis sélectionne Language => Choose the language

&#x25B6; recherche French.rlg et double-clique dessus pour appliquer la langue

&#x25B6; Clique ensuite sur Outils dans la barre de menu

&#x25B6; Sélectionne Nettoyage du registre => Nettoyeur de registre automatique

&#x25B6; RegCleaner va alors lancer le nettoyage automatiquement

&#x25B6; Coche ensuite les entrées invalides et clique sur Supprimer sélections => Terminer => Quitter

est ce que tu as encore des problèmes ??

Et est ce que tu as déjà fais une analyse avec malwarebytes ??

kedichon · Answer

il n'en restait plus que 2 sur 4... le ITune Helper et le ? n'étaient plus là.

je suis en train de télécharger le PS1.

oui, j'ai déjà fait un malwarebytes, mais au début de la conversation avec drhouse1998, dc ya une douzaine d'heures...

non, je n'ai plus de popups.

kedichon · Answer

mais ça me sert à quoi, en fait, tout ça?

kedichon · Answer

au fait, j'ai oublié de préciser, mais mon ordi n'a pas redémarré tout à l'heure...est ce grave?
de plus, j'ai toujours mon compte d'utilisateur désactivé...

geoffrey5 · Answer

Salut !!

le SP1 de vista est une mise à jour importante qui corrige beaucoup de bug... Donc tu dois le télécharger.

RegCleaner va nettoyer ta base de registre et supprimer les entrées invalides.

quand tu auras fais tout ça et que tu n as plus de problèmes, tu peux faire ceci pour terminer stp :

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

&#x25B6; Va dans démarrer puis panneau de configuration 
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs" 
&#x25B6; Clique ensuite sur désactiver et valide. 

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :  

&#x25B6; Télécharge Toolscleaner sur ton Bureau  


&#x25B6; Double-clique sur ToolsCleaner2.exe et laisse le travailler 
&#x25B6; Clique sur Recherche et laisse le scan se terminer. 
&#x25B6; Clique sur Suppression pour finaliser. 
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives. 
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer. 
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse




Désactive et réactive la Restauration du système :

Voici un tutoriel qui t expliquera comment désactiver et réactiver la restauration du système.


Ensuite tu peux aller réactiver le controle des comptes utilisateurs et créer un point de restauration !! IMPORTANT

kedichon · Answer

heu...quand je clique sur regcleaner, ya rien qui se passe...je dois l'exécuter directement dans la même fenêtre que quand je l'ai téléchargé?

geoffrey5 · Answer

peut etre que sous vista, tu dois faire un clic droit dessus et sélectionner "exécuter en tant qu admin"

kedichon · Answer

ben, non, ya rien, c'est pareil... par contre si je lance l'exécution directement de la fenêtre d'installation, ça marche, ms quand il commence a afficher des chiffres et tout, il me dit:

Error opening file for writing:
"C:\Program File\RegCleaner\RegCleanr.exe"
Hit abort to abort installation,
retry to retrywriting the file, or
ignore to skip this file.

et là j'ai le choix entre "abandonner", "recommencer", et "ignorer"

.....

mais de toute façon, drhouse1998 m'a déjà fait virer mes clés et cracks... donc c'est peut-être pas très grave si ça marche pas, non?

geoffrey5 · Answer

Ok alors fais un nettoyage avec ceci stp :

Télécharge CCleaner

Tu auras un tutoriel pour l'utiliser correctement

kedichon · Answer

alors, voici le rapport de toolscleaner:

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\lopR.txt: trouvé !
C:\Lop SD: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Navilog1: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navilog1: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navilog1\Navilog1.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\Navilog1: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Navilog1: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Navilog1\Navilog1.lnk: trouvé !
C:\Users\User\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
C:\Users\User\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\User\Desktop\HijackThis.lnk: trouvé !
C:\Users\User\Downloads\LopSD.exe: trouvé !
C:\Users\User\Downloads\HJTInstall.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navilog1\Navilog1.lnk: supprimé !
C:\Users\User\Desktop\HijackThis.lnk: supprimé !
C:\Users\User\Downloads\LopSD.exe: supprimé !
C:\Users\User\Downloads\HJTInstall.exe: supprimé !
C:\fixnavi.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\lopR.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\User\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Lop SD: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Navilog1: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navilog1: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !
C:\Users\User\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !


ya beaucoup moins d'erreurs de suppression que l'autre fois, mais yen a toujours 3...
qu'est ce que je fais?

geoffrey5 · Answer

Ok... Vas supprimer navilog, hijackthis et findykill

Est ce que tu as fais un nettoyage avec CCleaner ??

kedichon · Answer

oui, j'ai fait le nettoyage juste avant toolscleaner, et y avait pas d'erreurs, j'ai viré essencielement des cookies.

navilog est introuvable, j'ai pu désinsaller findykill et le supprimer, mais en revenche, je n'ai pu que désinstaller RegCleaner, car je dois disposer d'une autorisation pour le supprimer.

geoffrey5 · Answer

navilog est là   C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Navilog1

Pour RegCleaner c est bizarre qu il te demande une autorisation... Vas essayer de le désinstaller en mode sans échec

kedichon · Answer

heu... je trouve vraiment pas navilog:
dans C, ya bien "programmes", mais après, ya pas "microsoft", ya que "microsoft game" ou "microsoft office", et de toute manière, dans aucun des 2 ya "windows"...

comment faire pour redémarrer en mode sans échec et surtout comment remettre le mode normal après?

geoffrey5 · Answer

ProgramData

comment redémarrer en mode sans échec

En redémarrant le PC, il se remettra en mode normal  ;-)

kedichon · Answer

bon, en fait, ya même pas ProgramData... ya que ProgramFile...
c'est si important que ça de le virer? parceque si je le trouve pas... je peux pas faire grand chose...

geoffrey5 · Answer

ok tu peux le laisser si tu veux  ;-)

Tu peux mettre résolu

kedichon · Answer

et donc maintenant, faut que je désactive puis réactive la restauration de système?

geoffrey5 · Answer

oui et aussi créer un point de restauration

kedichon · Answer

c'est fini!
merci bien, je t'en suis très reconnaissante! (et à drhouse aussi, qui m'a beaucoup aidé au début)

bonne nuit, j'irai voir ton forum, promis.
à bientôt, encore merci.

Win 32 agent ACOC [trj]

86 réponses

Votre réponse

Discussions similaires

Newsletters