> Tous les forums > Forum Sécurité
 Fenêtre intempestive de pub ou autreSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
philippe3034
  Posté le 06/03/2007 @ 22:02 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

j'ai comme l'impréssion que je ne suis pas seul dans la m.....

Je suis sans arrêt à fermer des fenêtres de pub d'anti virus ou casino. Le gestionanire des tâches n'est pas accesible ?

J'ai fais un premier netoyage en mode sans échec avec EasyCleaner + CCleaner + AVG Anti-Spyware + analyse avec HijackThis, je poste les rapport AVG + HijackThis,

Si vous pouviez m'aider, c'est infernal toutes ces fenêtres qui n'arrête pas de s'ouvrir

D'avance merci

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:56:58 06/03/2007

+ Résultat de l'analyse:

Rien à signaler.

Fin du rapport

Logfile of HijackThis v1.99.1
Scan saved at 21:36:35, on 06/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\winvnc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\hijackthis\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160432801750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160301889187
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {D6ED542B-6339-11D2-91A8-00A0C9B760DB} (RteDocumatDoc Control) - http://cabs.rte.fr/RteAllCabsMFC.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fnacphoto.com/ectelechargement/xupload/XUpload.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\winvnc.exe" -service (file missing)

Publicité
Chercheur
 Posté le 06/03/2007 à 22:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

Poste aussi ces deux rapports.

* Télécharge LopxpMH sur ton Bureau.

http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

* Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

philippe3034
 Posté le 06/03/2007 à 23:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonsoir et merci chercheur de ton aide,

voilà le rapport de LopxpMH

Rapport fait à 22:56:50,98 le 06/03/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

15/03/2006 12:38 <REP> .
15/03/2006 12:38 <REP> ..
15/03/2006 12:38 <REP> Adobe
15/03/2006 12:38 <REP> ATI
08/10/2006 11:28 <REP> Dossier de t‚l‚chargement Share-to-Web
15/03/2006 12:38 <REP> Identities
15/03/2006 12:38 <REP> Microsoft
15/03/2006 12:38 62 desktop.ini
1 fichier(s) 62 octets
7 R‚p(s) 137ÿ893ÿ359ÿ616 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

15/03/2006 12:38 <REP> .
15/03/2006 12:38 <REP> ..
15/03/2006 12:38 <REP> Adobe
27/02/2007 18:27 <REP> Ahead
15/03/2006 12:38 <REP> ATI
15/03/2006 12:38 <REP> Microsoft
15/03/2006 12:38 <REP> PowerCinema
15/03/2006 12:38 33ÿ136 GDIPFONTCACHEV1.DAT
15/03/2006 12:38 1ÿ930ÿ896 IconCache.db
2 fichier(s) 1ÿ964ÿ032 octets
7 R‚p(s) 137ÿ893ÿ355ÿ520 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\All Users\Application Data

30/01/2006 15:24 <REP> .
30/01/2006 15:24 <REP> ..
04/02/2007 13:50 <REP> Adobe
16/01/2007 18:09 <REP> Adobe(2)
03/02/2007 14:26 <REP> Adobe(3)
30/01/2006 15:07 <REP> Ahead
25/02/2006 22:37 <REP> AOL
26/02/2006 16:40 <REP> AVG7
30/01/2006 15:10 <REP> CyberLink
30/07/2006 16:13 <REP> DVD Shrink
19/02/2007 17:53 <REP> Google
27/02/2006 19:10 <REP> Grisoft
02/04/2006 18:47 <REP> GTek
30/01/2006 15:24 <REP> Microsoft
26/11/2006 13:53 <REP> Microsoft Games
07/02/2007 17:34 <REP> Microsoft Help
25/02/2006 22:37 <REP> QuickTime
30/01/2006 14:59 <REP> SBSI
15/04/2006 17:45 <REP> Trymedia
25/02/2006 22:37 <REP> Viewpoint
29/03/2006 19:13 <REP> WinAntiVirus Pro 2006
20/07/2006 00:09 <REP> Windows Genuine Advantage
05/12/2006 17:41 <REP> Windows Live Toolbar
16/01/2007 21:39 <REP> Zylom
05/10/2006 19:05 3ÿ120 118300.34
30/01/2006 15:24 62 desktop.ini
2 fichier(s) 3ÿ182 octets
24 R‚p(s) 137ÿ893ÿ355ÿ520 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\Default User\Application Data

30/01/2006 15:24 <REP> .
30/01/2006 15:24 <REP> ..
25/02/2006 22:32 <REP> Adobe
25/02/2006 22:32 <REP> ATI
25/02/2006 22:32 <REP> Identities
30/01/2006 15:24 <REP> Microsoft
30/01/2006 15:24 62 desktop.ini
1 fichier(s) 62 octets
6 R‚p(s) 137ÿ893ÿ355ÿ520 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

30/01/2006 15:24 <REP> .
30/01/2006 15:24 <REP> ..
25/02/2006 22:32 <REP> Adobe
25/02/2006 22:32 <REP> ATI
30/01/2006 14:30 <REP> Microsoft
25/02/2006 22:32 <REP> PowerCinema
25/02/2006 22:32 33ÿ136 GDIPFONTCACHEV1.DAT
25/02/2006 22:32 3ÿ199ÿ006 IconCache.db
2 fichier(s) 3ÿ232ÿ142 octets
6 R‚p(s) 137ÿ893ÿ351ÿ424 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\Gus

Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

30/01/2006 14:32 <REP> .
30/01/2006 14:32 <REP> ..
27/02/2006 19:10 <REP> AVG7
13/03/2006 20:33 <REP> Macromedia
30/01/2006 14:32 <REP> Microsoft
0 fichier(s) 0 octets
5 R‚p(s) 137ÿ893ÿ351ÿ424 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

30/01/2006 14:32 <REP> .
30/01/2006 14:32 <REP> ..
30/01/2006 14:32 <REP> Microsoft
30/01/2006 15:10 <REP> Powercinema
0 fichier(s) 0 octets
4 R‚p(s) 137ÿ893ÿ351ÿ424 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

30/01/2006 14:32 <REP> .
30/01/2006 14:32 <REP> ..
30/01/2006 14:32 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 137ÿ893ÿ351ÿ424 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

30/01/2006 14:32 <REP> .
30/01/2006 14:32 <REP> ..
30/01/2006 14:32 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 137ÿ893ÿ351ÿ424 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\RUAS Philippe\Application Data

25/02/2006 22:33 <REP> .
25/02/2006 22:33 <REP> ..
25/02/2006 22:33 <REP> Adobe
26/02/2006 01:06 <REP> AdobeUM
26/02/2006 01:32 <REP> Ahead
25/02/2006 22:39 <REP> AOL
25/02/2006 22:33 <REP> ATI
27/02/2006 19:10 <REP> AVG7
26/02/2006 00:06 <REP> CyberLink
06/07/2006 21:35 <REP> Dossier de t‚l‚chargement Share-to-Web
07/07/2006 12:59 <REP> Dossier de t‚l‚chargement Share-to-Web
07/03/2006 14:10 <REP> FotoWire
16/03/2006 00:00 <REP> Google
02/04/2006 18:47 <REP> GTek
27/02/2006 00:09 <REP> Help
25/02/2006 22:33 <REP> Identities
08/10/2006 11:28 <REP> Lavasoft
25/02/2006 23:01 <REP> Macromedia
25/02/2006 22:33 <REP> Microsoft
26/11/2006 13:53 <REP> Microsoft Games
01/03/2006 13:54 <REP> MSNInstaller
18/02/2007 00:10 <REP> Nero
11/08/2006 17:27 <REP> Real
30/07/2006 16:24 <REP> SlySoft
18/03/2006 17:25 <REP> Sun
13/02/2007 21:45 <REP> SYSTRAN
26/02/2006 22:02 <REP> Template
19/09/2006 21:12 <REP> Windows Live Safety Center
25/02/2006 22:37 <REP> You've Got Pictures Screensaver
30/07/2006 16:21 40 .zreglib
25/02/2006 22:33 62 desktop.ini
25/10/2006 12:56 35ÿ080 GDIPFONTCACHEV1.DAT
26/02/2006 22:02 0 wklnhst.dat
4 fichier(s) 35ÿ182 octets
29 R‚p(s) 137ÿ893ÿ351ÿ424 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Documents and Settings\RUAS Philippe\Local Settings\Application Data

25/02/2006 22:33 <REP> .
25/02/2006 22:33 <REP> ..
25/02/2006 22:33 <REP> Adobe
27/02/2006 21:35 <REP> Ahead
21/07/2006 14:36 <REP> ApplicationHistory
25/02/2006 22:33 <REP> ATI
03/08/2006 22:57 <REP> Axialis
16/03/2006 00:00 <REP> Google
27/02/2006 00:09 <REP> Help
26/02/2006 16:10 <REP> Identities
31/03/2006 21:19 <REP> Logitech-LS
25/02/2006 22:33 <REP> Microsoft
07/02/2007 17:34 <REP> Microsoft Help
25/02/2006 22:33 <REP> PowerCinema
02/04/2006 19:17 <REP> toaster
26/02/2006 02:03 <REP> WMTools Downloaded Files
26/02/2006 00:43 74ÿ240 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
21/07/2006 14:36 136 fusioncache.dat
25/02/2006 22:33 78ÿ952 GDIPFONTCACHEV1.DAT
11/08/2006 22:56 4ÿ788ÿ656 IconCache.db
4 fichier(s) 4ÿ941ÿ984 octets
16 R‚p(s) 137ÿ893ÿ347ÿ328 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

30/01/2006 14:32 <REP> .
30/01/2006 14:32 <REP> ..
25/02/2006 22:33 <REP> Adobe
25/02/2006 22:33 <REP> ATI
25/02/2006 22:33 <REP> Identities
30/01/2006 14:32 <REP> Microsoft
30/01/2006 14:32 62 desktop.ini
1 fichier(s) 62 octets
6 R‚p(s) 137ÿ893ÿ347ÿ328 octets libres
Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

30/01/2006 14:32 <REP> .
30/01/2006 14:32 <REP> ..
25/02/2006 22:33 <REP> Adobe
25/02/2006 22:33 <REP> ATI
30/01/2006 14:32 <REP> Microsoft
25/02/2006 22:13 <REP> Powercinema
25/02/2006 22:33 33ÿ136 GDIPFONTCACHEV1.DAT
25/02/2006 22:33 3ÿ199ÿ006 IconCache.db
2 fichier(s) 3ÿ232ÿ142 octets
6 R‚p(s) 137ÿ893ÿ347ÿ328 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\WINDOWS\Tasks

05/12/2006 17:41 270 V‚rifier les mises … jour de Windows Live Toolbar.job
30/01/2006 14:32 6 SA.DAT
30/01/2006 14:29 <REP> ..
30/01/2006 14:29 <REP> .
27/01/2006 14:38 65 desktop.ini
3 fichier(s) 341 octets
2 R‚p(s) 137ÿ893ÿ347ÿ328 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle 445688
Le num‚ro de s‚rie du volume est A4B9-05B9

R‚pertoire de C:\Program Files

24/02/2007 00:08 <REP> .
24/02/2007 00:08 <REP> ..
03/02/2007 14:25 <REP> Adobe
13/02/2007 20:39 <REP> Ahead
07/02/2007 16:44 <REP> Alcohol Soft
02/04/2006 19:01 <REP> AOL
12/09/2006 17:41 <REP> ATI Technologies
22/02/2007 23:16 <REP> AviSynth 2.5
20/12/2006 20:56 <REP> Bayo
27/02/2007 18:33 <REP> CCleaner
09/07/2006 12:33 <REP> Common Files
08/10/2006 19:53 <REP> ComPlus Applications
25/08/2006 23:52 <REP> CyberLink
08/10/2006 11:28 <REP> Defenza
24/07/2006 14:03 <REP> Disc2Phone
31/07/2006 20:16 <REP> DVD Shrink
07/02/2007 17:38 <REP> Fichiers communs
26/08/2006 10:45 <REP> Fluendo
14/11/2006 18:34 <REP> GanymedeNet
24/02/2007 10:40 <REP> Google
09/03/2006 21:48 <REP> Goto.Games
06/10/2006 16:28 <REP> Grisoft
06/02/2007 22:02 <REP> Guitar Pro 5
21/10/2006 17:34 <REP> HardwareDetection
06/07/2006 21:38 <REP> Hewlett-Packard
16/02/2007 18:21 <REP> Internet Explorer
19/01/2007 23:58 <REP> Java
26/11/2006 12:49 <REP> Jld SoftWare
26/02/2006 20:35 <REP> KC Softwares
09/10/2006 18:06 <REP> Lavalys
08/10/2006 20:08 <REP> Lavasoft
25/02/2006 22:37 <REP> Learn2.com
07/02/2007 17:03 <REP> Learning Essentials
31/03/2006 18:07 <REP> Logitech
03/03/2006 22:16 <REP> Messenger
07/02/2007 17:04 <REP> Microsoft Etudes
30/01/2006 14:31 <REP> microsoft frontpage
09/12/2006 22:35 <REP> Microsoft Games
07/02/2007 17:38 <REP> Microsoft Office
30/01/2006 15:08 <REP> Microsoft Visual Studio
07/02/2007 17:34 <REP> Microsoft Visual Studio 8
07/02/2007 17:39 <REP> Microsoft Works
07/02/2007 17:37 <REP> Microsoft.NET
20/02/2007 14:05 <REP> MIKSOFT
30/01/2006 14:29 <REP> Movie Maker
07/02/2007 17:39 <REP> MSBuild
02/03/2006 18:39 <REP> MSN
25/08/2006 15:21 <REP> MSN Games
30/01/2006 14:28 <REP> MSN Gaming Zone
09/02/2007 23:28 <REP> MSN Messenger
14/10/2006 14:25 <REP> MSXML 4.0
13/02/2007 20:43 <REP> Nero
30/09/2006 17:02 <REP> NetMeeting
02/03/2006 18:32 <REP> Online Services
15/12/2006 00:30 <REP> Outlook Express
31/08/2006 12:37 <REP> PhotoFiltre
25/03/2006 01:22 <REP> QuickTime
25/02/2006 22:32 <REP> Raccourcis de programmes
25/02/2006 22:37 <REP> Real
06/03/2006 20:54 <REP> RealVNC
09/02/2007 20:03 <REP> Ripp-it_AM
15/03/2006 16:28 <REP> SAGEM
03/02/2007 17:03 <REP> Samsung
30/01/2006 14:29 <REP> Services en ligne
06/07/2006 22:49 <REP> SLD Codec Pack
30/07/2006 16:19 <REP> SlySoft
13/02/2007 21:42 <REP> SYSTRAN
08/10/2006 14:12 <REP> ToniArts
10/11/2006 18:50 <REP> TransVente
23/09/2006 21:37 <REP> Trend Micro
25/02/2006 22:37 <REP> Viewpoint
05/12/2006 19:27 <REP> Windows Desktop Search
05/12/2006 17:42 <REP> Windows Live Favorites
28/02/2007 00:17 <REP> Windows Live Safety Center
19/02/2007 17:50 <REP> Windows Live Toolbar
07/03/2006 14:09 <REP> Windows Media Components
14/02/2007 23:16 <REP> Windows Media Player
30/01/2006 14:28 <REP> Windows NT
10/06/2006 18:42 <REP> WinRAR
30/01/2006 14:31 <REP> xerox
19/02/2007 17:30 <REP> Yahoo!
0 fichier(s) 0 octets
81 R‚p(s) 137ÿ893ÿ343ÿ232 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.cache.yacast.fr/ REG_BINARY
*.live.com/ REG_BINARY
*.gallery.microsoft.com/ REG_BINARY
*.entertainment.msn.com/radio REG_BINARY
*.my.msn.com/video REG_BINARY
*.betavideo.my.msn.com REG_BINARY
*.my.msn.com REG_BINARY
*.launchcast.launch.yahoo.com/radio REG_BINARY
*.stream1.adsertion.com/radio REG_BINARY
www.wlsam.com REG_BINARY
www.streamaudio.com REG_BINARY
*.windowsmedia.com REG_BINARY
www.lagoonb.com/francais/village_droite REG_BINARY
www.abeltronica.com REG_BINARY 0000

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************

et celui de F-secure

03/06/07 22:26:25 [Info]: BlackLight Engine 1.0.55 initialized
03/06/07 22:26:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/06/07 22:26:25 [Note]: 7019 4
03/06/07 22:26:25 [Note]: 7005 0
03/06/07 22:26:27 [Note]: 7006 0
03/06/07 22:26:27 [Note]: 7011 1756
03/06/07 22:26:27 [Note]: 7026 0
03/06/07 22:26:27 [Note]: 7026 0
03/06/07 22:26:27 [Note]: 7024 3
03/06/07 22:26:27 [Info]: Hidden process: C:\windows\system32\plupkuobto.exe
03/06/07 22:26:36 [Note]: FSRAW library version 1.7.1021
03/06/07 22:33:29 [Info]: Hidden file: c:\WINDOWS\system32\plupkuobto.dat
03/06/07 22:33:29 [Note]: 10002 1
03/06/07 22:33:29 [Info]: Hidden file: C:\windows\system32\plupkuobto.exe
03/06/07 22:33:29 [Note]: 10002 1
03/06/07 22:33:30 [Info]: Hidden file: c:\WINDOWS\system32\plupkuobto_nav.dat
03/06/07 22:33:30 [Note]: 10002 1
03/06/07 22:33:30 [Info]: Hidden file: c:\WINDOWS\system32\plupkuobto_navps.dat
03/06/07 22:33:30 [Note]: 10002 1
03/06/07 22:35:34 [Note]: 2000 1012
03/06/07 22:35:34 [Note]: 2000 1012
03/06/07 22:42:22 [Note]: 7007 0

Encore merci, @+

Chercheur
 Posté le 06/03/2007 à 23:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Re

Au travail.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer
.

$$ Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger Winsoftware.bfu de Lazzzy
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Winsoftware.bfu et BFU.exe (très important).

$$ Télécharge Navipromo.zip
http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
Décompresse-le sur ton bureau


$$ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.


$$ Lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert


$$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

---Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Winsoftware.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.


$$ Clique sur Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous


$$ Redémarre normalement

Poste un nouveau hijackthis avec le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

philippe3034
 Posté le 07/03/2007 à 01:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re

voilà, j'ai tout fais, ouf.... enfin j'éspère, lol

Logfile of HijackThis v1.99.1
Scan saved at 01:05:00, on 07/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\winvnc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\Its Label\ItsTV\ItsTV.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160432801750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160301889187
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {D6ED542B-6339-11D2-91A8-00A0C9B760DB} (RteDocumatDoc Control) - http://cabs.rte.fr/RteAllCabsMFC.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fnacphoto.com/ectelechargement/xupload/XUpload.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\winvnc.exe" -service (file missing)

et celui de Navipromo

Rapport Navipromo.bat 0.71 effectué le 07/03/2007 à 0:46:32,00
L'opération se déroule en mode sans échec sous le compte "RUAS Philippe"

** Recherche...

1/ plupkuobto trouvé, recherche de plupkuobto*
C:\WINDOWS\system32\plupkuobto.dat
C:\WINDOWS\system32\plupkuobto.exe
C:\WINDOWS\system32\plupkuobto_nav.dat
C:\WINDOWS\system32\plupkuobto_navps.dat
C:\WINDOWS\prefetch\PLUPKUOBTO.EXE-2166090A.pf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
plupkuobto REG_SZ c:\windows\system32\plupkuobto.exe plupkuobto

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode

################################################

** Nettoyage...

1/ Déplacement de plupkuobto* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\plupkuobto* déplacé avec succès !
C:\WINDOWS\prefetch\plupkuobto* déplacé avec succès

------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\plupkuobto.dat
C:\Navipromo\Backups\plupkuobto.exe
C:\Navipromo\Backups\PLUPKUOBTO.EXE-2166090A.pf
C:\Navipromo\Backups\plupkuobto_nav.dat
C:\Navipromo\Backups\plupkuobto_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression

-------------

Rapport Navipromo.bat 0.72 effectué le 07/03/2007 à 0:48:37,46
L'opération se déroule en mode sans échec sous le compte "RUAS Philippe"

## Suppression Heuristique

* Backups :

C:\Navipromo\Backups\Heuristic\hokxvypbng.exe

Ajout d'extension .off aux backups
Backups exe renommés avec succès

## Fin du rapport Heuristique

@ bientôt

Chercheur
 Posté le 07/03/2007 à 01:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Re

On continue.

Relance un scan HijackThis et coche les lignes ci-dessous :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D6ED542B-6339-11D2-91A8-00A0C9B760DB} (RteDocumatDoc Control) - http://cabs.rte.fr/RteAllCabsMFC.cab

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.

philippe3034
 Posté le 07/03/2007 à 03:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re moi, je suis naze, je colle le rapport et je file me coucher.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, March 07, 2007 3:39:32 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 7/03/2007
Enregistrements dans la base antivirus Kaspersky : 261661
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Statistiques de l'analyse:
Total d'objets analysés: 84585
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:53:57

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_219.wmdb L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Local Settings\Historique\History.IE5\MSHist012007030720070308\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\RUAS Philippe\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLML_MAIN\CLML.db L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\\_restore{84B49AF6-C99F-4173-880C-29DD0F7FE154}\RP161\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt L'objet est verrouillé ignoré
C:\WINDOWS\Temp\sqlite_tP9RnWf3e7If04H L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

@+

Chercheur
 Posté le 07/03/2007 à 09:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

Plus rien d'infectieux dans ce rapport.

As tu encore des dysfonctionnements ?

philippe3034
 Posté le 07/03/2007 à 12:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour, plus matinal que moi chercheur, lol, alors tout a l'air de bien fonctionner, c'est la deuxième fois que tu m'aide et je t'en remercie, c'est un plaisir de bosser avec toi, tout est clair bien expliqué et pas trop compliqué avec les bon liens pour les téléchargements.

Si je peux me permettre une question, cette procédure de désinfection que tu m'a fais faire, peut-elle s'appliqué dans d'autre situation si ça recommance à buger par exemple? Sinon comment savoir les lignes que tu m'a fais cocher dans "Hijackthis" y a t'il un truc pour reconnaitre ces lignes ou faut il être un boss de l'informatique. Je ne cherche pas à faire concurence, c'est simplement pour essayer d'apprendre et éviter de trop souvent venir vous embéter les BOSS de PCastuce , que je ne remercierais jamais assé.

@+ et encore MERCI BEAUCOUP

Publicité
Chercheur
 Posté le 07/03/2007 à 15:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

C'est une manip spécifique pour l'infection que tu avais.

Pour apprendre un peu HijackThis, tu peux lire ceci.

https://forum.pcastuces.com/sujet.asp?f=25&s=10169

philippe3034
 Posté le 09/03/2007 à 23:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re, merci pour ton aide et les infos, heureusement que tu m'as aidé, encore merci.

@+

Chercheur
 Posté le 10/03/2007 à 22:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

De rien

Supprime BlackLight, LopxpMH, BFU et Navipromo.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
22,99 €Clavier sans fil Logitech Wireless Desktop K400 Plus avec pavé tactile à 22,99 €
Valable jusqu'au 26 Janvier

Amazon solde le clavier sans fil Logitech Wireless Desktop K400 Plus à 22,99 €. Ce clavier sans fil dispose d'un large pavé tactile de 9 cm avec navigation multipoint pour un pointage à un doigt simplifié et un défilement vertical à deux doigts. Idéal pour contrôler votre ordinateur à distance, s'il est connecté à une TV par exemple. On le trouve ailleurs à partir de 40 €. 


> Voir l'offre
174,99 €Ecran 24 pouces incurvé Iiyama G2466HSU-B1 (FullHD, IPS, 1 ms, 165 Hz) à 174,99 €
Valable jusqu'au 25 Janvier

Amazon fait une promotion sur l'écran incurvé 24 pouces Iiyama G2466HSU-B1 qui passe à 174,99 € livré gratuitement alors qu'on le trouve ailleurs à partir de 200 €. Cet écran à bord fin possède une dalle IPS FullHD (1920x1080px), offre un temps de réponse de 1 ms, une vitesse de rafraichissement de 165 Hz. Il est compatible FreeSync. Il possède 2 ports HDMI et un port DP.


> Voir l'offre
89,99 €Amazon Fire TV Cube à 89,99 €
Valable jusqu'au 27 Janvier

Amazon fait une promotion sur son Fire TV Cube qui passe à 89,99 € au lieu de 119,99 €. Fire TV Cube est l'appareil Fire TV le plus rapide et le plus puissant (4K ultra HD, 6 coeurs, 16 Go, Ethernet, Dolby Atmos) : il vous livre une expérience d'utilisation fluide et rapide pour profiter de vos films et séries préférés (Netflix, Prime Video, Disney+, Molotov, YouTube). Fire TV Cube vous permet de poser la télécommande et de vous plonger dans vos films et séries préférés en utilisant uniquement le son de votre voix. Vous pouvez aussi demander à Alexa de régler le volume ou de couper le son de votre TV ou barre de son compatible. 

 


> Voir l'offre

Sujets relatifs
problème fenêtre intempestive
fenêtre intempestive
fenêtre INTEMPESTIVE click to run
probleme de son et de fenetre pub intempestive
Fenêtre intempestive de QuickCam
fenetre intempestive
Infection/ Fenetre intempestive
Ouverture d'une fenêtre de pub intempestive.
fenêtre intempestive " HP - We're sorry ,..."
probleme de fenetre pub intempestive et pc lent
Plus de sujets relatifs à Fenêtre intempestive de pub ou autre
 > Tous les forums > Forum Sécurité