System32\dkitppwe.dll introuvable (XP)Résolu/Fermé

Question

Bonjour,
D'abord, j'ai deux mains gauches et j'ai besoin d'aide en langage "enfant de 4 ans". 
Voilà : Au démarrage de mon ordi s'ouvre depuis des mois une fenêtre me signalant que le fichier Windows\system32\dkitppwe.dll est introuvable..

En effet en parvenant dans le menu de system32, ce fichier n'y figure pas. Peut-on le récupérer seul, ou bien faut-il se procurer tout system32 et le remplacer ?
Quelle est son utilité, peut-on éventuellement s'en passer ?

Merci pour votre écoute et vos précieux conseils..

crapoulou · Answer

Salut, Ce fichier est très certainement infectieux (infection Vundo). - Télécharge HijackThis Version 2.02 : = = = = >>> En cliquant ici <<< = = = = - Enregistre HJTInstall.exe sur ton bureau. - Fais un double-clic (gauche) sur HJTInstall.exe afin de lancer l’installation - Clique sur Install ensuite sur « I Accept » - Clique sur « Do a scan system and save log file »

geek-inside33 · Answer

Ne t'est tu pas trompé dans le nom de la DLL, je ne la trouve pas sur internet !

plaiga · Answer

bonjour,
La source du problème n'est pas le DLL mais bien BOOT.INI (la plupart du temps). 

La solution au problème est simple : 
Démarrer l'ordinateur avec un disque de démarrage (si vous n'en possédez pas vous pouvez en avoir une sur www.bootdisk.com) 
Accéder à l'invite de commande. 
Entrer les commandes suivantes :

C:
edit boot.ini


Vous accéderez à BOOT.INI. Par défaut il ressemble à ceci: 
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect


L'erreur provient dans la plupart des cas du numéro de la partition qui est indiqué (ça survient souvent après une installation d'un 2e système d'exploitation). Changez partition(1) pour partition(2), et si ça ne fonctionne toujours pas, changez encore de chiffre jusqu'à ce que vous soyez tombé sur le bon. Si vous ne voulez pas avoir à rééditer BOOT.INI plusieurs fois, recopiez la ligne complète après [operating systems] et changez le chiffre dans chaque, vous n'aurez qu'a essayer les différentes options qui s'offriront à vous lors du prochain démarrage. 

Autre astuce: 
Copier encore la ligne complète après [operating systems] et ajoutez après /fastdetect : /safeboot:minimal /sos /bootlog 
Changer le nom de l'option pour "Mode Sans Échec"


Vous avez maintenant une option dans le menu qui vous permet d'accéder au mode sans échec sans avoir à peser sur F8 lors du démarrage.

derien ;-)

crapoulou · Answer

Oui, c'est certainement une infection Vundo, passe Hijackthis stp.

crapoulou · Answer

Il me faut l'intégralité du rapport stp !
La longue liste comme tu dis.
C'est bien cette ligne fautive de ton message intempestif mais il faut te désinfecter !

crapoulou · Answer

Suis la procédure donnée ici :
http://www.commentcamarche.net/forum/affich 12405917 system32 dkitppwe dll introuvable xp?#1
Tu copies-colle l'intégralité de ce qui s'affiche à l'écran :
Ctrl + A pour tout sélectionner
Ctrl + C pour copier
Ctrl + V pour coller (ici là où tu écris ton message)...

crapoulou · Answer

Ton rapport est bien affiché ici :
http://www.commentcamarche.net/forum/affich 12405917 system32 dkitppwe dll introuvable xp?#10

Je ne vais pas 'criser' t'inquiètes pas, lol c'est normal ;-).

Tu as plusieurs infections.

1) : Deux Toolbars (ou barres d'outils infectieuses : Ask Toolbar et Games Bar. On va la supprimer ensembles).
2) Eorezo : Adware : affiche des poublicités (parfois) et garde des informations personelles comme navigation, adresses mails, ....
3) Une infection Navipromo que l'on traitera ensuite.
4) Une infection Vundo (affiche des pubs).

*********Pour éviter l'affichage du message d'erreur au démarrage*************

Relance Hijackthis.
Clic sur "Do a system scan only".
Coche ces lignes :
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
Clic ensuite sur fix checked.


**************Désinfection*****************

Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipulation !! 

* Relance Toolbar-S&D par double clique sur le raccourci
* Tape l’option 2 (Nettoyage) puis tapes sur Entrée.
Notes :
=>Ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : postes l’intégralité de son contenu dans ta prochaine réponse 
accompagné d’un nouveau rapport Hijackthis pour analyse ...

alf78 · Answer

Bonsoir Crapoulou, Quelle patience, et quelle pédagogie.. je me sens grandir ! Ne trouvant pas Toolbar S&D, je l'ai téléchargé, activé et bien sûr enregistré son blocnotes, que voici : -----------\ ToolBar S&D 1.2.8 XP/Vista Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz ) BIOS : Award Medallion BIOS v6.00PG USER : fèvres alain ( Administrator ) BOOT : Normal boot Antivirus : avast! antivirus 4.8.1335 [VPS 090512-0] 4.8.1335 (Activated) Firewall : Norton Internet Security 2005 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:180 Go (Free:29 Go) D:\ (CD or DVD) E:\ (CD or DVD) G:\ (USB) I:\ (USB) J:\ (USB) K:\ (USB) L:\ (USB) "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 ) Option : [2] ( 12/05/2009|20:12 ) -----------\ SUPPRESSION Supprime! - [Service] ASKService Supprime! - [Service] ASKUpgrade Supprime! - C:\DOCUME~1\FVRESA~1\LOCALS~1\Temp\NERO14688\Toolbar.exe Supprime! - C:\Program Files\AskBarDis\bar Supprime! - C:\Program Files\AskBarDis\unins000.dat Supprime! - C:\Program Files\AskBarDis\unins000.exe Supprime! - C:\Program Files\AskTBar\bar Supprime! - C:\Program Files\AskTBar\PopSwatr Supprime! - C:\Program Files\dynamic toolbar\batch.bat Supprime! - C:\Program Files\dynamic toolbar\Cache Supprime! - C:\Program Files\dynamic toolbar\PBFRV2 Supprime! - C:\Program Files\dynamic toolbar\unins000.dat Supprime! - C:\Program Files\dynamic toolbar\unins000.exe Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\05-01-01-11-31-47 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\05-01-01-11-31-47.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-09-18-15-38-39 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-09-18-15-38-39.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-01-08-42-45.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-01-08-45-33.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-01-08-46-20.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-02-08-49-00.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-02-08-55-06.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-02-08-55-24.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-02-08-56-38.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-02-08-57-02.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-02-08-58-58.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-21-16-01-12 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-21-16-01-12.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-12-21-15-53-40 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-12-21-15-53-40.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-01-27-15-50-21 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-01-27-15-50-21.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-10-12-47-31 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-10-12-47-31.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-22-14-13-51 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-22-14-13-51.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-22-14-13-55 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-22-14-13-55.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-22-14-13-57 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-22-14-13-57.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-28-14-49-01 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-28-14-49-01.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-29-20-40-14 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-03-29-20-40-14.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-04-21-15-01-14 Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\09-04-21-15-01-14.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\4_elements16x16.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\about.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\action.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\annes_dream_world16x16.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\arcade.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\burger_island_216x16.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\buy.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\cards.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\deals.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\download.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\dream_day_wedding_216x16.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\feedback.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\help.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\highlight.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\jigsaw.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\lavendars_botanicals16x16.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\magic_encyclopedia16x16.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\mahjong.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\multiplayer.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\mygames.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\mystery_stories_island_of_hope16x16.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar ewGames.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\oberonconfig.xm_ Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\obSearchHistory.dat Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\partner.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\puzzle.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\search.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\search_yahoo.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\sendafriend.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\sports.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar ime_quest16x16.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar rial.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\uninstall.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\update.gif Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\webgame.gif Supprime! - C:\Program Files\GamesBar\Localization-French.ini Supprime! - C:\Program Files\GamesBar\oberontb.dll Supprime! - C:\Program Files\GamesBar\OBGet.exe Supprime! - C:\Program Files\GamesBar\uninst.exe Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1\GamesBar Supprime! - C:\Program Files\AskBarDis Supprime! - C:\Program Files\AskTBar Supprime! - C:\Program Files\dynamic toolbar Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar Supprime! - C:\Program Files\GamesBar -----------\ Recherche de Fichiers / Dossiers ... C:\DOCUME~1\FVRESA~1\Cookies\fevres_alain@mysearch[1].txt -----------\ Extensions (fŠvres alain) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar -----------\ [..\Internet Explorer\Main] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="C:\WINDOWS\system32\blank.htm" "Start Page"="https://www.google.fr/?gws_rd=ssl" "Search Page"="https://www.google.com/?gws_rd=ssl" "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html" "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp" "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp" "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF" "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF" "Local Page"="C:\WINDOWS\system32\blank.htm" "Start Page"="https://www.msn.com/fr-fr/" --------------------\ Recherche d'autres infections C:\DOCUME~1\FVRESA~1\LOCALS~1\APPLIC~1\kaowakq.dat C:\DOCUME~1\FVRESA~1\LOCALS~1\APPLIC~1\kaowakq_navps.dat C:\DOCUME~1\FVRESA~1\LOCALS~1\APPLIC~1\kmcswum.dat C:\DOCUME~1\FVRESA~1\LOCALS~1\APPLIC~1\kmcswum.exe C:\DOCUME~1\FVRESA~1\LOCALS~1\APPLIC~1\kmcswum_nav.dat C:\DOCUME~1\FVRESA~1\LOCALS~1\APPLIC~1\kmcswum_navps.dat [b]==> EGDACCESS <==/b C:\WINDOWS\system32\GiQYFfhk.ini C:\WINDOWS\system32\GiQYFfhk.ini2 C:\WINDOWS\system32\OXwFeMoq.ini2 C:\WINDOWS\system32\Srtuxyay.ini C:\WINDOWS\system32\Srtuxyay.ini2 C:\WINDOWS\system32\SsCLnnmp.ini C:\WINDOWS\system32\SsCLnnmp.ini2 [b]==> VUNDO <==/b 1 - "C:\ToolBar SD\TB_1.txt" - 12/05/2009|20:15 - Option : [2] -----------\ Fin du rapport a 20:15:33,72 Puis voici le dernier rapport d'HiJackthis, après avoir suivi toutes tes indications, très claires ! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:17:29, on 12/05/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe c:\APPS\HIDSERVICE\HIDSERVICE.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Apps\Powercinema\PCMService.exe C:\apps\ABoard\ABoard.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\apps\ABoard\AOSD.exe C:\Documents and Settings\fèvres alain\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Apps\EZHome\EZStatus.exe C:\documents and settings\fèvres alain\local settings\application data\kmcswum.exe C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe C:\PROGRA~1\Magentic\bin\MgApp.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\IncrediMail\bin\IMApp.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Vuze\Azureus.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\fèvres alain\Bureau\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {51A420D4-0E01-467D-87DE-AC3993ABA671} - C:\WINDOWS\system32\khfFYQiG.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: (no name) - {AF209DB6-29BB-4F8B-84E8-2056EA999610} - C:\WINDOWS\system32\efcDTLeC.dll (file missing) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: (no name) - {D3893410-1997-4AEC-9EFB-C7E259CE62A8} - C:\WINDOWS\system32\pmnnLCsS.dll (file missing) O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file) O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [c42c3356] rundll32.exe "C:\WINDOWS\system32\dkitppwe.dll",b O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\fèvres alain\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c O4 - HKCU\..\Run: [kmcswum] "c:\documents and settings\fèvres alain\local settings\application data\kmcswum.exe" kmcswum O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'Default user') O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - Winlogon Notify: efcDTLeC - efcDTLeC.dll (file missing) O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Program Files\Norton Internet Security\ISSVC.exe (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus avapsvc.exe (file missing) O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing) O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

crapoulou · Answer

Je t'ai donné la procédure de l'étape 2 avant l'étape 1, désolé. Très bien, on a gagné du temps comme ça ! ***********Passons à Eorezo************ Télécharge Ad-Remover ( de Cyrildu17 / C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnectes toi et fermes toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ * Double clique sur le programme d'installation, et installe le dans son emplacement par défaut. (C:\Program files) * Double clique sur l'icône Ad-remover située sur ton bureau * Au menu principal choisi l'option "A". * Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report(date).log) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. PS : Évite de télécharger des logiciels sur le site Eorezo !

alf78 · Answer

Et voilà les nouvelles du soir !

J'ai bien désactivé mon anti-virus avant, et l'ai réactivé ensuite..



------- LOGFILE OF AD-REMOVER 1.1.3.7 | ONLY XP/VISTA -------

Updated by C_XX on 11/05/2009 at 16:00
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html

Start at: 20:52:01, 12/05/2009 | Boot mode: Normal Boot
Option: Scan | Executed from: C:\Program Files\Ad-remover\
Operating System: Microsoft® Windows XP™  Service Pack 3 (version 5.1.2600)
Computer Name: 104138570005
Current User: fŠvres alain - Administrator
Drive(s): 
- C:\  (File System: NTFS)

(!) ---- C:\Documents and Settings\fŠvres mireille\Ntuser.dat Loaded as: 'HKU\fŠvres mireille'

============ Known Adwares Found ============

.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCR\CLSID\{FE063DB1-4EC0-403E-8DD8-394C54984B2C} 
HKLM\Software\Classes\CLSID\{FE063DB1-4EC0-403E-8DD8-394C54984B2C} 
.
C:\Documents and Settings\fŠvres alain\Application Data\Mozilla\Firefox\Profiles8iznp81.default\searchplugins\ask.xml
C:\Documents and Settings\fŠvres alain\Application Data\Mozilla\Firefox\Profiles8iznp81.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@atdmt[1].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@atdmt[2].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@bs.serving-sys[1].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@mysearch[1].txt

+-----------------| Eorezo Elements Found:

HKCU\Software\EoRezo
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Softwarehelper
.
C:\Documents and Settings\fŠvres alain\Application Data\EoRezo
C:\DOCUME~1\FVRESA~1\LOCALS~1\Temp\is-361F2.tmp\EoRezo
C:\DOCUME~1\FVRESA~1\LOCALS~1\Temp\is-CTV6H.tmp\EoRezo
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-18B5B4CD.pf
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@ads.eorezo[1].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@dl.eorezo[1].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@eorezo[1].txt

+-----------------| It's TV Elements Found:

.

+-----------------| Sweetim Elements Found:

.

+-----------------| Added Scan:

---- Mozilla FireFox Version 3.0.10 ----

ProfilePath: r8iznp81.default (fŠvres alain)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "MyStart Rechercher");
(Prefs.js) user_pref("browser.search.selectedEngine", "MyStart Rechercher");
(Prefs.js) user_pref("browser.search.selectedEngine", "Live Search");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://mystart.incredimail.com/");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.5");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://mystart.incredimail.com/");
(Invalidprefs.js) user_pref("browser.startup.homepage", "hxxp://lo.st#home");
(Invalidprefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.5");
.
(Invalidprefs.js) Found: user_pref("browser.startup.homepage", "hxxp://lo.st#home");

---- Internet Explorer Version 8.0.6001.18702 ----

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/
Start Page: hxxp://fr.msn.com/?ocid=iehp

[HKEY_USERS\S-1-5-21-622637877-17011268-1465943963-1009\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/
Start Page: hxxp://fr.msn.com/?ocid=iehp

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

=========== Suspicious ==========


+---------------------------------------------------------------------------+

4446 Byte(s) - C:\Ad-Report-Scan-12.05.2009.log

1 File(s) - C:\Program Files\Ad-remover\BACKUP
0 File(s) - C:\Program Files\Ad-remover\QUARANTINE

End at: 21:27:50 | 12/05/2009
.
+-----------------| E.O.F


Merci Docteur !

crapoulou · Answer

Évite aussi mywebsearch. ************* Nettoyage avec Ad-Remover : * /!\ Déconnecte toi et fermes toutes applications en cours /!\ * Relance "Ad-remover" : au menu principal choisi l'option "B". = = = =>>> Comme sur cette image <<<= = = = * Ensuite coche : Adwares connus Eorezo Pour ‘cocher’, tape chaque numéro correspondant puis entrée pour valider. * Puis tape S * Le programme va travailler ... * Poste le rapport qui apparaît à la fin + un nouveau rapport Hijackthis pour analyse. (Le rapport est sauvegardé aussi sous C:\Ad-report.log.) /!\ Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide) /!\ ************* Tu as une infection Navipromo / Magic control. (probablement dû à Eorezo) Télécharge sur le bureau Navilog1 (Merci à IL-MAFIOSO) = = = = >>> En cliquant ici <<< = = = = * La console noire de Navilog1 doit s’ouvrir après l’installation * Sinon, pour l’ouvrir, double-clique sur le raccourci « Navilog1 » sur ton bureau * Appuie sur la lettre F de ton clavier puis sur la touche Entrée * Appuie sur une touche de ton clavier pour continuer... * Tape 1, puis appuie sur la touche Entrée de ton clavier * Ainsi, Navilog1 va effectuer la recherche des fichiers infectieux sur ton PC. * NE PAS UTILISER L’OPTION 2, 3, 4 SANS AVIS * Sois patient, cela peut prendre une dizaine de minutes * Navilog1 t’informe que la recherche est terminée * Appuie sur une touche de ton clavier pour afficher le rapport qu’il a généré * Le rapport sera sauvegardé dans le fichier suivant : « fixnavi.txt » à la racine de ton disque dur (C:\fixnavi.txt). * Poste le rapport généré

alf78 · Answer

1) VOICI LE RAPPORT PRODUIT PAR AD-REMOVER APRES ELIMINATION DE EOREZO & des ADWARES CONNUS : 

------- LOGFILE OF AD-REMOVER 1.1.3.7 | ONLY XP/VISTA -------

Updated by C_XX on 11/05/2009 at 16:00
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html

**** LIMITED TO ****

Known Adwares
Eorezo

********************

Start at: 21:45:02, 12/05/2009 | Boot mode: Normal Boot
Option: Clean | Executed from: C:\Program Files\Ad-remover\
Operating System: Microsoft® Windows XP™  Service Pack 3 (version 5.1.2600)
Computer Name: 104138570005
Current User: fŠvres alain - Administrator
Drive(s): 
- C:\  (File System: NTFS)

(!) ---- C:\Documents and Settings\fŠvres mireille\Ntuser.dat Loaded as: 'HKU\fŠvres mireille'

(!) ---- IE start pages/Tabs reset

============ Known Adwares Deleted ============

.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{FE063DB9-4EC0-403E-8DD8-394C54984B2C}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
HKCR\CLSID\{FE063DB1-4EC0-403E-8DD8-394C54984B2C}
.
C:\Documents and Settings\fŠvres alain\Application Data\Mozilla\Firefox\Profiles8iznp81.default\searchplugins\ask.xml
C:\Documents and Settings\fŠvres alain\Application Data\Mozilla\Firefox\Profiles8iznp81.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@atdmt[1].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@atdmt[2].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@bs.serving-sys[1].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@mysearch[1].txt

+-----------------| Eorezo Elements Deleted :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Softwarehelper
HKCU\Software\EoRezo
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
.
C:\Documents and Settings\fŠvres alain\Application Data\EoRezo
C:\DOCUME~1\FVRESA~1\LOCALS~1\Temp\is-361F2.tmp\EoRezo
C:\DOCUME~1\FVRESA~1\LOCALS~1\Temp\is-CTV6H.tmp\EoRezo
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-18B5B4CD.pf
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@ads.eorezo[1].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@dl.eorezo[1].txt
C:\Documents and Settings\fŠvres alain\Cookies\fŠvres_alain@eorezo[1].txt

(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.



+-----------------| Added Scan:

---- Mozilla FireFox Version 3.0.10 ----

ProfilePath: r8iznp81.default (fŠvres alain)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "MyStart Rechercher");
(Prefs.js) user_pref("browser.search.selectedEngine", "MyStart Rechercher");
(Prefs.js) user_pref("browser.search.selectedEngine", "Live Search");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://mystart.incredimail.com/");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.5");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://mystart.incredimail.com/");
(Invalidprefs.js) user_pref("browser.startup.homepage", "hxxp://lo.st#home");
(Invalidprefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.5");
.
(Invalidprefs.js) Removed: user_pref("browser.startup.homepage", "hxxp://lo.st#home"); 

---- Internet Explorer Version 8.0.6001.18702 ----

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.google.com
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Start Page: hxxp://fr.msn.com/?ocid=iehp

[HKEY_USERS\S-1-5-21-622637877-17011268-1465943963-1009\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.google.com
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Start Page: hxxp://fr.msn.com/?ocid=iehp

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

=========== Suspicious ==========


+---------------------------------------------------------------------------+

4886 Byte(s) - C:\Ad-Report-Clean-12.05.2009.log
4663 Byte(s) - C:\Ad-Report-Scan-12.05.2009.log

20 File(s) - C:\Program Files\Ad-remover\BACKUP
9 File(s) - C:\Program Files\Ad-remover\QUARANTINE

End at: 22:20:08 | 12/05/2009
.
+-----------------| E.O.F


2) LE RAPPORT HIJACKTHIS APRES ACTION DE AD-REMOVER :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:01:58, on 12/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Apps\EZHome\EZStatus.exe
C:\documents and settings\fèvres alain\local settings\application data\kmcswum.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\fèvres alain\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {51A420D4-0E01-467D-87DE-AC3993ABA671} - C:\WINDOWS\system32\khfFYQiG.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: (no name) - {AF209DB6-29BB-4F8B-84E8-2056EA999610} - C:\WINDOWS\system32\efcDTLeC.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: (no name) - {D3893410-1997-4AEC-9EFB-C7E259CE62A8} - C:\WINDOWS\system32\pmnnLCsS.dll (file missing)
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [c42c3356] rundll32.exe "C:\WINDOWS\system32\dkitppwe.dll",b
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [kmcswum] "c:\documents and settings\fèvres alain\local settings\application data\kmcswum.exe" kmcswum
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: efcDTLeC - efcDTLeC.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Program Files\Norton Internet Security\ISSVC.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

crapoulou · Answer

Nettoyage avec Navilog1 : 

* Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
* Relance Navilog en faisant un clic droit sur le raccourci Navilog présent sur ton bureau et en choisissant 
‘Exécuter en tant qu’administrateur’.
* Au menu principal, choisis 2 et valide.
* Il va t’informer qu’il va alors redémarrer ton PC
* Appuie sur une touche comme demandé (Si ton PC ne redémarre pas automatiquement, fais le toi même) 
* Au redémarrage de ton PC, choisis ta session habituelle.

* Patiente jusqu’au message : 
*** Nettoyage Termine le ..... ***

* Le bloc note va s’ouvrir, copie/colle ici le rapport, comme tu l’as fait pour l’autre.

alf78 · Answer

Bonjour, 
Il y a un hic: le menu " contextuel" de navilog1 ne me propose pas ‘Exécuter en tant qu’administrateur’. 
Que ce soit sur l'icone de mise en service ou sur celui d'installation... Moyen de retrouver ce choix ailleurs ?

Sinon, as-tu besoin, une fois que nous aurons réussi cette procédure, d'un nouveau rapport HiJackThis en plus du rapport Navilog ?

alf78 · Answer

Bon, je me suis risqué à zapper le "Exécuter en tant qu'administrateur" et j'ai suivi le reste de tes dernières consignes. Tous s'est passé sans que j'aie à forcer le redémarage.

Voici le rapport qui s'en est suivi:

Clean Navipromo version 3.7.7 commencé le 13/05/2009 à 15:23:49,82

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Award Medallion BIOS v6.00PG
USER : fèvres alain ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1335 [VPS 090512-0] 4.8.1335 (Not Activated)
Firewall  : Norton Internet Security 2005 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:180 Go (Free:30 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
G:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB)


Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\fèvres alain\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\FVRESM~1\locals~1\applic~1" * 


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\fèvres alain\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\FVRESM~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\fèvres alain\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\FVRESM~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\fèvres alain\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\FVRESM~1\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\fŠvres alain\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *



* Dans "C:\Documents and Settings\fèvres alain\locals~1\applic~1" * 


kaowakq.dat trouvé ! 
Copie kaowakq.dat réalisée avec succès !
kaowakq.dat supprimé !

kaowakq_navps.dat trouvé ! 
Copie kaowakq_navps.dat réalisée avec succès !
kaowakq_navps.dat supprimé !

kmcswum.exe trouvé ! 
Copie kmcswum.exe réalisée avec succès !
kmcswum.exe supprimé !

kmcswum.dat trouvé ! 
Copie kmcswum.dat réalisée avec succès !
kmcswum.dat supprimé !

kmcswum_nav.dat trouvé ! 
Copie kmcswum_nav.dat réalisée avec succès !
kmcswum_nav.dat supprimé !

kmcswum_navps.dat trouvé ! 
Copie kmcswum_navps.dat réalisée avec succès !
kmcswum_navps.dat supprimé !


* Dans "C:\DOCUME~1\FVRESM~1\locals~1\applic~1" * 



*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

C:\WINDOWS\system32\GiQYFfhk.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\OXwFeMoq.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\Srtuxyay.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\SsCLnnmp.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !


*** Nettoyage terminé le 13/05/2009 à 15:34:37,62 ***

Puis, dans le doute ( tu ne l'as pas demandé) voilà le dernier rapport HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:06, on 13/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Apps\EZHome\EZStatus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\fèvres alain\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {51A420D4-0E01-467D-87DE-AC3993ABA671} - C:\WINDOWS\system32\khfFYQiG.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: (no name) - {AF209DB6-29BB-4F8B-84E8-2056EA999610} - C:\WINDOWS\system32\efcDTLeC.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: (no name) - {D3893410-1997-4AEC-9EFB-C7E259CE62A8} - C:\WINDOWS\system32\pmnnLCsS.dll (file missing)
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [c42c3356] rundll32.exe "C:\WINDOWS\system32\dkitppwe.dll",b
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: efcDTLeC - efcDTLeC.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Program Files\Norton Internet Security\ISSVC.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

crapoulou · Answer

C'est normal, je n'ai volontairement pas commencé par cette infection (Vundo). On y vient de suite : Télécharge Malwarebytes’ Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Sur la page clique sur Télécharger Malwarebyte’s Anti-Malware - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d’installation - Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l’icône de malwarebytes pour le relancer - Dans l’onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. - Rends toi dans l’onglet rapport/log - Tu clique dessus pour l’afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d’aide regarde ce tutorial ICI

alf78 · Answer

Voici le bloc-notes produit par mbam . Tout s'est bien passé, à ceci près qu'il m' a tét demandé si oui ou non je désirais redémarrer l'ordi (de toute façon pas le choix sinon la procédure eût été inachevée..).

J'ai pu ainsi constater que ma p..... de fenêtre system32 nae revenait plus à la charge. PRETTY GOOD JOB !

Abuserais-je si j'évoquais deux autres fenêtres intempestives et persistantes ? Si tu acceptes, je te les reproduirai après que tu aies validé l'excellence de ton travail déjà accompli..

Autre chose : je ne suis pas habitué à être ainsi aidé, comment pourrai-je te remercier ? Là aussi, trouve une solution !

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2125
Windows 5.1.2600 Service Pack 3

13/05/2009 20:14:02
mbam-log-2009-05-13 (20-14-02).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 205955
Temps écoulé: 57 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af209db6-29bb-4f8b-84e8-2056ea999610} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcdtlec (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{af209db6-29bb-4f8b-84e8-2056ea999610} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3aa42713-5c1e-48e2-b432-d8bf420dd31d} (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\CrucialSoft Ltd (Rogue.MSantispyware2009) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\c42c3356 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\BASE (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\DELETED (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\LOG (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\SAVED (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\efcDTLeC.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\20090304094732015.log (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090304092556187.log (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090304094505281.log (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.

crapoulou · Answer

Après cette procédure, dit moi s'il reste des messages intempestifs, si oui lesquels : /!\ Procédure réservée à alf78. Ne tentez pas de la reproduire si vous avez un problème similaire sous peine de planter votre machine /!\ Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois installé sur le bureau, double-clique sur OTMoveIt.exe pour le lancer. Assure toi que la case Unregister Dll’s and Ocx’s soit bien cochée Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste Instructions for Items to be moved. :Processes explorer.exe :Files C:\WINDOWS\system32\GiQYFfhk.ini C:\WINDOWS\system32\GiQYFfhk.ini2 C:\WINDOWS\system32\OXwFeMoq.ini2 C:\WINDOWS\system32\Srtuxyay.ini C:\WINDOWS\system32\Srtuxyay.ini2 C:\WINDOWS\system32\SsCLnnmp.ini C:\WINDOWS\system32\SsCLnnmp.ini2 :Commands [purity] [emptytemp] [Reboot] Clique sur MoveIt! pour lancer la suppression. Après avoir fait Moveit!, une fenêtre s'affiche : "The system requires a reboot to finish removing files. Do you want to reboot now ?" Réponds Yes. Le résultat apparaîtra dans le cadre "Results". Clique sur Exit pour fermer. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. ************* Autre chose : je ne suis pas habitué à être ainsi aidé, comment pourrai-je te remercier ? Les remerciements suffisent ;-).

crapoulou · Answer

Je doute que tous ces messages proviennent de l'infection. Consulte ceci : http://www.commentcamarche.net/forum/affich 2601498 message a l ouverture hpqthb08 exe erreur d a Connais-tu ce fameux PHOTOGALLERY ?? ***********Pour une analyse plus en profondeur de ton PC************* Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Double clique sur RSIT.exe pour le lancer. * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence. * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt.

crapoulou · Answer

Vérifie que l'installation se soit correctement déroulée ...
Ton rapport RSIT n'est pas complet (il doit être très long) !

crapoulou · Answer

Le rapport n'est toujours pas passé :S

crapoulou · Answer

Double-clique sur OTMoveIt.exe pour le lancer. Assure toi que la case Unregister Dll’s and Ocx’s soit bien cochée Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste Instructions for Items to be moved. :Processes explorer.exe :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{51A420D4-0E01-467D-87DE-AC3993ABA671}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D3893410-1997-4AEC-9EFB-C7E259CE62A8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] :Commands [purity] [emptytemp] [Reboot] Clique sur MoveIt! pour lancer la suppression. Après avoir fait Moveit!, une fenêtre s'affiche : "The system requires a reboot to finish removing files. Do you want to reboot now ?" Réponds Yes. Le résultat apparaîtra dans le cadre "Results". Clique sur Exit pour fermer. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. ************** Analyse ce fichier : C:\WINDOWS\system32\NTIMMV8.dll Sur le site de virustotal : https://www.virustotal.com/gui/ Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée. Poste bien le rapport. (Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant). ************ Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, …) Télécharge et installe UsbFix de C_XX & Chiquitine29 : = = = = >>> En cliquant ici <<< = = = = Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir ! * Double clique sur le raccourci UsbFix présent sur ton bureau. * Choisis l’option 1 (Recherche) * Laisse travailler l’outil. * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra. Notes : - Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum). - "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

crapoulou · Answer

Nettoyage avec UsbFix : Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir ! *Double clique sur le raccourci UsbFix présent sur ton bureau. * Choisis l’option 2 (Suppression) * Ton bureau disparaîtra et le PC redémarrera. * Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil. * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaitra avec le bureau . Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) ****************** Suis cette procédure pour supprimer toutes les traces de Norton : = = = =>>> En cliquant ici <<<= = = = Tu ne fais bien entendu pas l'étape 3 de la réinstallation.

alf78 · Answer

J'ai bien appliqué la phase 2 d'UsbFix mais j'ai effecé son rapport par inadvertance § J'ai donc renouvelé l'opération mais bien évidemment le dernier rapport dignostique que tout est propre bien sûr (il ne va pas s'avouer qu'il a mal bossé). je doute que ce soit riche en infos pour toi..

Concernant le Norton Removal Tool, tout s'est bien passé. Je n'ai bien sûr pas engagé la phase 3.

Voici le rapport "propre" de UsbFix:


############################## [ UsbFix V3.019 # Cleaning ]

# User : fèvres alain (Administrateurs) # 104138570005
# Update on 13/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 13:08:38 | 14/05/2009

#               Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090513-0] 4.8.1335 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 180,29 Go (34,18 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 122,85 Mo (18,66 Mo free) [KINGSTON] # FAT
# G:\ # Disque amovible # 969,72 Mo (44,98 Mo free) [UDISK 2.0] # FAT
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible
# L:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

# -> Not Found !  

################## [ Listing des fichiers présent ]

[12/05/2009 22:20|--a--c---|5154] - C:\Ad-Report-Clean-12.05.2009.log
[12/05/2009 21:29|--a--c---|4663] - C:\Ad-Report-Scan-12.05.2009.log
[08/04/2005 18:09|-rahs----|215] - C:\BOOT.BAK
[08/03/2008 19:47|-rahs----|296] - C:\BOOT.INI
[05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[13/05/2009 15:34|--a--c---|4179] - C:\cleannavi.txt
[05/08/2004 14:00|-rahs----|263488] - C:\cmldr
[06/05/2009 13:34|--a--c---|3532] - C:\drmHeader.bin
[08/04/2005 17:57|--a------|6281] - C:\DWNLOG.TXT
[27/11/2008 12:23|--a--c---|2927935] - C:\eCOMO_Installer_2.00f.exe
[12/05/2009 22:52|--a--c---|3836] - C:\fixnavi.txt
[?|?|?] - C:\hiberfil.sys
[08/04/2005 18:12|-rahs----|0] - C:\IO.SYS
[08/04/2005 18:14|--ah-----|829] - C:\IPH.PH
[08/04/2005 18:12|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 14:00|--a------|47564] - C:\NTDETECT.COM
[20/09/2008 09:33|--a------|252240] - C:\NTLDR
[?|?|?] - C:\pagefile.sys
[08/04/2005 16:27|--a------|1182] - C:\SAUDIT.TXT
[30/10/2008 16:42|--ah-c---|232] - C:\sqmdata00.sqm
[30/10/2008 16:42|--ah-c---|244] - C:\sqmnoopt00.sqm
[12/05/2009 20:15|--a--c---|8839] - C:\TB.txt
[14/05/2009 13:10|--a--c---|3999] - C:\UsbFix.txt
[12/02/2009 23:25|--a------|143360] - F:\bcard Alain FEVRES.xls
[12/02/2009 23:32|--a------|597248] - F:
um‚rique.zip
[09/04/2003 09:01|--a------|705024] - F:\BUBULLES.pps
[09/09/2004 10:09|--a------|513024] - F:\geluck18.pps
[20/12/2002 17:36|--a------|531456] - F:\missworl.pps
[20/12/2002 17:36|--a------|232448] - F:\Ordi.pps
[24/10/2003 07:08|--a------|415744] - F:\Marriage.pps
[24/10/2003 06:57|--a------|176128] - F:\Windaz.pps
[24/03/2004 18:35|--a------|538624] - F:\Animalerie.pps
[23/03/2004 12:21|--a------|102912] - F:	est personnalite.pps
[22/03/2004 13:26|--a------|307712] - F:\offredem.pps
[26/03/2004 10:08|--a------|16896] - F:\poids_ideal_v21.0.xls
[08/04/2003 15:57|--a------|1445376] - F:\save animals.pps
[12/12/2005 20:36|--a------|407040] - F:\Que vois-tu....doc
[10/01/2006 13:20|--a------|706510] - F:\HomeRun.zip
[23/02/2006 16:56|--a------|24064] - F:\STE.doc
[30/01/2006 09:01|--a------|146944] - F:\Conte.pps
[31/01/2006 14:29|--a------|38912] - F:\hopital.pps
[30/01/2006 20:41|--a------|120320] - F:	antra21.pps
[06/12/2005 10:51|--a------|1282560] - F:\stress reducers.exe
[14/12/2005 20:40|--a------|1411072] - F:\quizz__20ans_apr1.pps
[15/12/2005 17:32|--a------|1429038] - F:\05-Les conseils d'un professionnel du celiba!.zip
[15/12/2005 17:32|--a------|192653] - F:\06-Un poverbe Canadien.zip
[29/12/2005 09:49|--a------|495616] - F:\certific.pps
[28/02/2006 22:36|--a------|845312] - F:\Miche Franche.pps
[30/12/2005 20:18|--a------|1163225] - F:\Tr  Fw Fw Calendrier.eml
[30/12/2005 20:18|--a------|554497] - F:\Fw JOYEUX No‰l gerard.eml
[02/01/2006 22:37|--a------|669696] - F:\Vousneleverrez1.pps
[02/01/2006 22:37|--a------|1621504] - F:\gros_kiki.PPS
[04/01/2006 09:40|--a------|462336] - F:\L' amiti‚ c'est.pps
[05/01/2006 21:41|--a------|1812480] - F:\Voeux001j[1].v..pps
[05/01/2006 21:41|--a------|2446336] - F:\Quiveutetreuncochon.pps
[07/01/2006 22:51|--a------|225280] - F:\bibiche.pps
[09/01/2006 00:24|--a------|2125312] - F:\KeeleyHazell.pps
[12/01/2006 19:35|--a------|144896] - F:\Amiti‚.pps
[12/01/2006 19:35|--a------|978944] - F:\Medoccs.pps
[23/01/2006 20:38|--a------|3049984] - F:\diaporama_sur_la_vie.pps
[26/01/2006 13:44|--a------|253440] - F:\epidemasG.pps
[26/01/2006 15:27|--a------|48128] - F:\Perlesdubac20042.pps
[26/01/2006 15:27|--a------|128512] - F:\L'hiverapproche.pps
[26/01/2006 15:27|--a------|303616] - F:\lit trop plat.pps
[26/01/2006 15:27|--a------|1462784] - F:\J'ai_gar‚_la_voiture_(2).pps
[27/01/2006 18:16|--a------|406528] - F:\abcd1.pps
[30/01/2006 09:02|--a------|63488] - F:\les_2_nonnes.pps
[30/01/2006 09:02|--a------|1404416] - F:\MadeInItaly.pps
[03/02/2006 18:05|--a------|175104] - F:\BMW_Motorcicle_1.pps
[19/02/2006 22:38|--a------|209920] - F:\chuuut.pps
[23/02/2006 23:06|--a------|2148352] - F:\Une_vie_d_amour.pps
[25/02/2006 14:51|--a------|209920] - F:\PARIS ET NEW-YORK.PPS
[25/02/2006 14:51|--a------|142336] - F:\MOTARD FRANCAIS ET MAROCAIN.PPS
[25/02/2006 14:51|--a------|215040] - F:\ARMEE DE L'AIR OU DE TERRE.pps
[26/02/2006 21:49|--a------|1564160] - F:\CODEVI .pps
[26/02/2006 21:50|--a------|1441280] - F:\lettreadresseealaconcurrence.ppt
[01/03/2006 08:22|--a------|283648] - F:\Jeneregardepluslefootball.pps
[08/03/2006 22:39|--a------|257024] - F:\Lesfemmes_(M.D._06-02-28).pps
[08/05/2006 09:22|--a------|113152] - F:	rain_de_Paul.pps
[08/05/2006 09:22|--a------|348672] - F:	ransp.pps
[14/05/2006 21:19|--a------|876] - F:\Conflit de G‚n‚rations.txt
[25/02/2000 08:00|--a------|25600] - F:\borlndmm.dll
[22/07/2004 10:04|--a------|1085175] - F:\HomeRun.exe
[17/12/2006 20:58|---hs----|110080] - G:\Thumbs.db
[02/02/2009 21:35|--a------|82944] - G:\utilitaire JOURS FERIES.xls
[25/03/2004 18:40|--a------|416] - G:\GUITAR WILLIE.LNK
[25/01/2009 18:24|--ahs----|3117568] - G:\ehthumbs_vista.db
[31/12/2007 11:50|--a------|668] - G:\G‚n‚atique 2007.lnk

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.  
# F:\autorun.inf -> Folder created by UsbFix.  
# G:\autorun.inf -> Folder created by UsbFix.  

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.019 ! ]

crapoulou · Answer

Très bien poste un nouveau rapport RSIT pour vérification stp.

alf78 · Answer

Il n'y a qu'à demander ! 

Je sens que c'est bientôt la fin, n'est-ce pas ?
Me sachant néophyte donc potentiellement dangereux pour mon ordi, me conseilles-tu  de garder tous les logiciels que tu m'as indiqués, leurs icônes (install & ouverture), ainsi que les rapports générés ? 

voici en tout cas le dernier rapport RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by fèvres alain at 2009-05-14 13:28:03
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 35 GB (19%) free of 185 GB
Total RAM: 1023 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:08, on 14/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\fèvres alain\Bureau\RSIT.exe
C:\Documents and Settings\fèvres alain\Bureau\fèvres alain.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [EzStatus] C:\Apps\EZHome\EZStatus.exe (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

crapoulou · Answer

Ne t'inquiète pas, on va tout virer ;-). La fin approche, tu as raison. Relance Hijackthis. Clic sur "Do a system scan only". Coche ces lignes : R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe Clic ensuite sur fix checked. ************** Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : Télécharge toolscleaner sur ton Bureau = = = =>>> En cliquant ici <<<= = = = * Double-clique sur ToolsCleaner2.exe et laisse le travailler * Clique sur Recherche et laisse le scan se terminer. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options facultatives. * Clique sur Quitter, pour que le rapport puisse se créer. ************** Tu peux garder Malwarebytes anti malware en tant qu’anti malware, il est très efficace. (Même s’il ne résout pas tous les problèmes, bien entendu … !) Par contre, il n’a pas de scan résident en mode gratuit ! Il faut donc pour l’utiliser le lancer, faire les mises à jour et faire un scan complet après. **************** Pour information, Antivir d’Avira est meilleur qu’Avast ou autre antivirus gratuit. Si ça t’intéresse, désinstalle bien le tien et installe Antivir. Tout est expliqué sur ce lien, du téléchargement à la configuration. Autre lien utile : ICI ****************** * Télécharge Ccleaner Slim : = = = = >>> En cliquant ici <<< = = = = * Installe le. * Choisis l’onglet Nettoyeur Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui. Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant. * Choisis l’onglet Registre - Clique sur Chercher des erreurs - Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça) - Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue. - A la fenêtre qui s’ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK - Recommence jusqu’à ce qu’aucune erreur n’apparaisse (ou une seule récurrente). - Ferme Ccleaner. * Tutoriel en images ICI si besoin. Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m’est jamais arrivé ! Il vaut mieux prendre des précautions, c’est tout. ;-)

crapoulou · Answer

Très bien, tu as bien fait j'ai oublié de copier cette ligne :D
Supprime ceci manuellement :
C:\UsbFix

Supprime les fichiers d'installation s'il en reste et ce dossier :
C:\Program Files\Trend Micro.

Passe à la suite.

alf78 · Answer

C'est bon, UsbFix est enlevé, TrendMicro n'était déjà plus là.

Qu'entends-tu par la suite ?

crapoulou · Answer

Très bien.
J'entends :
- Changer d'Antivirus si tu veux.
- Passer Ccleaner (pas de rapport demandé).

crapoulou · Answer

Je ne sais pas pour cette erreur, elle devrait pertir. Pour virer Avast : par l'ajout / suppression de programmes. Sinon : Il existe un utilitaire pour désinstaller Avast proprement : Télécharge le = = = =>>> En cliquant ici <<<= = = = et suis la procédure expliquée sur ce lien. Je dois te laisser, je reviens vers 17H30. En attendant, tu peux faire une analyse complète de ton système avec Antivir mis à jour et poster le rapport obtenu. (S'il détecte des infections, mets en quarantaine ce qu'il trouve)

crapoulou · Answer

Très bien, on a fini alors :D

alf78 · Answer

Que ces mots-là sont bons à lire...
Dois-je considérér que mon ordi est prêt à vendre comme neuf ? I'm kidding of course..

Je suis conscient que mon ordi était pourri de toute part et que je dois me montrer plus méfiant dorénavant avant de télécharger n'importe quoi.. 

Quoi te dire sinon ces deux mots ! MER-CI !!!!!!!!!
Existe-t-il sur ce site un moyen d'évaluer ta performance, que dis-je, ton marathon ? C'est le moins que je puisse faire puisque les pourboires ou autres récompenses ne semblent pas te motiver...

J'ai encore juste un léger doute sur un point: ANTIVIR est un antivirus qui semble ne pas être détecté par windows (c'est le centre de sécurité  qui me le dit). J'ai donc dû cocher la case "J'ai un programme anti-virus que je gère moi-même". Si ANTIVIR coupe ou devient obsolète, je ne serai donc pas prévenu par Windows. Serai-je alors alerté d'une autre manière? 

Tu vois je te prends même pour Nostradamus !

Et une dernière question: parmi toutes les infos que j'ai diffusée pour que tu agisses, y en a-t-il qui sont susceptibles d'être utilisées à mauvais escient par des esprits malveillants ? Si oui, toute notre conversation peut-elle être rayée du site. J'espère que ma nouvelle méfiance ne tend pas à la paranoïa 


Bon je sais j'encombre le forum.

Au plaisir de ta dernière lecture, 
Sincères remerciements, 
Alain

crapoulou · Answer

Pas d'argent ici, voyons, c'est de l'entraide ;-).

Serai-je alors alerté d'une autre manière? 
Le parapluie rouge absent en bas à droite.

Aucun souci sur les infos que tu as communiqué : aucune confidentialité ! juste tes programmes installés et : ton prénom, que tu as donné :D lol.

*****Enfin*********

Désactive et réactive ta restauration système afin de la purger.
Démarrer > clic droit sur Poste de travail, Propriétés, onglet Restauration du système > Désactiver la restauration du système, puis Appliquer et ok, ok.
(N'oublie pas la manipulation inverse pour la réactiver immédiatement).

C'est pour nettoyer cette restauration qui est infectée.

alf78 · Answer

Bon, bon je n'insiste pas, je n'insiste pas. Je trouve ton attitude très noble, et d'autant plus que je serais bien infoutu de rendre des services de cette qualité sur ce site !

Désactiver la restauration du système, puis Appliquer et ok, ok. : 
Ma seule trouvaille pour désactiver a été de glisser le curseur de l'espace disque pour la restauration du système, puis OK 5et attente un bon moment). Car on ne me pose pas la question "Désactiver ?"
Et inversement, j'ai remis le curdeur au 10 % où il se trouvait, puis OK.
Ai-je bien fait ?


Pour les rapports diffusés, j'ai bien compris que c'est moi qui suis maintenant infesté d'idées parano. Là, il n' y a pas de logiciel, 
J'arrêt donc là mes palabres..

crapoulou · Answer

Essaye ceci :

    * Aller dans Démarrer > Tous les programmes > Accessoires puis Outils système
    * Choisir Nettoyage de disque
    * Attendre un moment (le temps de la vérification de ce qui peut être supprimé)
    * Aller sur l'onglet Autres options
    * Aller dans la rubrique du bas "Restauration du système" pour cliquer sur Nettoyer
    * Valider.

alf78 · Answer

Rien de plus simple ! C'est fait.

Je constate avec plaisir que toutes tes intventions et conseils m'ont fait gagner de puis le début envirion 14 Go sur le disque dur. Tu devrais t'essyer comme diététicien, il y a un créneau, surtout avant l'été..

crapoulou · Answer

lol, c'est vrai ça doit être un bon plan pour combler les fins de mois ;-). Bonne soirée et bonne continuation. Sois vigilant sur le net. ;-) Dernier conseil : Installe un pare feu car celui de Windows n’est pas suffisant. ZoneAlarm : = = = = >>> En cliquant ici <<< = = = = Un tutorial pour le configurer = = = = >>> En cliquant ici <<< = = = =

alf78 · Answer

Bonjour, 
J'ai réussi à installer Zone Alarm, et en effet il permet de filtrer efficacement les intrus ..
J'ai bien compris que c'était à moi de "paramétrer" mes préférences et autorisations au fur et à mesure des alertes de Z.A. 
L'inconvénient c'est que je risque de bloquer des trucs utiles que  je connais pas.. 

Un nom revient souvent : Cyberlink, qui cherche notamment à recevoir des connexions depuis internet (ça ne me semble pas bon ce genre de demande; alors je bloque définitivement)

D'une manière générale, faut-il bloquer toutes les demandes de "demande d'agir en tant que serveur" ? Ce sont les bleues je crois.

crapoulou · Answer

Euh non, pas vraiment.
Si tu es en train de faire une action, autorise, sinon, tu peux refuser si tu n'étais en train de rien faire.
Quand tu as des doutes, recherche sur Internet le nom voir s'il est connu...

System32\dkitppwe.dll introuvable (XP)

40 réponses

Discussions similaires

Newsletters