virus securitytoolRésolu/Fermé

Question

Bonjour,
Mon fils de 14ans a "malencontreusement" accepté l'installation d'un logiciel. Depuis, à chaque démarrage de l'ordinateur, j'ai une fenêtre Securitytool qui s'ouvre et je n'ai plus accès à mon antivirus (Bitdefender) et le pare-feu Windows est déconnecté sans que je puisse le réactiver.
Maintenant, j'ai une fenêtre Securitytool qui s'ouvre dès que je veux lancer la plupart des logiciels ou aller sur internet.
Qui peut m'aider SVP ?
Je précise que mon niveau d'informatique est certainement plus que perfectible et remercie par avance ceux qui voudront bien m'aider avec des mots que je comprends  ;-)
Marie

verni29 · Answer

Bonjour, 

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

N'hésite pas à poser des questions si tu as des difficultés.

A+

turkishman · Answer

salut , 
vas dans : 
Démarrer-->executer-->msconfig 
Dans l' onglet démarrage , choisis les programmes au démarrage ( décoche sécuritytool )
J'espère t' avoir aider

marie4409 · Answer

Merci pour vos réponses rapides.
-> turkishman: pour avoir lu les posts de personnes ayant rencontré le même problème, je pense que ta solution n'éradique pas le virus, mais le "désactive" seulement. Je vais suivre la procédure suggérée par verni29. Ne m'en veux pas.
-> verni29: je vais essayer de suivre ta procédure. Si je rencontre des problèmes, je ne manquerai pas de te demander des précisions dans les étapes
@+

marie4409 · Answer

Verni29,
J'ai bien téléchargé Combofix sur le bureau. Dès que je le lance, une petite fenêtre s'ouvre avec des barres verticales (comme celles d'évolution d'un téléchargement) puis tout disparait et je ne peux pas valider l'installation de la console de récupération comme tu le suggérais. J'ai été voir sur le disque dur, il n'y a pas de fichier CombiFix.txt, comme si le virus avait bloqué le lancement de Combofix.
As-tu une autre solution ?

verni29 · Answer

OK, 

Le virus bloque l'outil pour l'instant.

Commence par ceci.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau. 
http://images.malwareremoval.com/random/RSIT.exe 

# Double-clique sur " RSIT.exe " pour le lancer . 
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis  1 month pour l'option "List files/folders created ...". 
# clique ensuite sur " Continue " pour lancer l'analyse ... 

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence. 

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées. 

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier  C:\rsit.

A+

marie4409 · Answer

Merci de ta rapidité à me répondre.
Malheureusement, j'ai toujours le même problème: au lancement de RSIT, une fenêtre s'ouvre puis se referme immédiatement (j'ai à peine le temps de voir que je dois cliquer sur une parmi deux "touches", dont une se nomme "continue") et je n'ai pas de fichier de résultat.
J'ai l'impression que j'ai chopé un bon virus. Une autre solution ?

verni29 · Answer

Bon, ne désepérons pas.

1/ Télécharge rkill de Grinler sur ton Bureau (et pas ailleurs).
https://download.bleepingcomputer.com/grinler/rkill.exe

/!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec cet outil./!\

    * Double-clique sur le fichier rkill sur ton Bureau afin de lancer l'outil.
      ( Pour les utilisateurs de Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" ).
    * Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, dis le moi avant de passer à la suite.

2/ Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

marie4409 · Answer

Au lancement de rkill, une fenêtre est apparue brièvement puis à disparu. Un fichier nommé pev est maintenant présent sur le bureau.
Dois-je passer à l'étape de téléchargement de MalwareBytes ?

verni29 · Answer

Oui et surtout ne redémarre pas le PC

A+

marie4409 · Answer

même problème au lancement de MalwareBytes (fichier mbam-setup.exe): rien ne se passe et une fenêtre Securitytool apparait.
@+

verni29 · Answer

Télécharge ce fichier :
http://mbam.malwarebytes.org/program/random.php

Copie le fichier dans C:\program files\Malwarebytes' Anti-Malware\
Double clique sur ce fichier ( c'est un fichier au nom aléatoire ).
Il devrait ouvrir malwarebytes puis suit les indications du post sur malwarebytes.

A+

marie4409 · Answer

Je n'ai pas de répertoire Malwarebytes' Anti-Malware\ dans C:\program files\
Faut-il que je le créé "manuellement" ?

verni29 · Answer

Non, Malwarebytes ne s'était pas installé.

1/ Désinstalle ComboFix.
Pour cela :
démarrer --> exécuter --> tape : ComboFix /uninstall

2/ Retélécharge Combofix mais tu vas le renommer au téléchargement.
Suis les consignes du post suivant :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm

A+

marie4409 · Answer

J'ai voulu désinstaller Combofix mais j'ai eu le message suivant "Windows ne trouve pas Combofix,....."
J'ai ensuite suivi la procédure pour le re-télécharger en le renommant. Aucun souci.
Quand j'ai lancé le programme, même résultat qu'au début: une fenêtre avec des barbules s'ouvre rapidement et se referme aussitôt.
Je commence vraiment à désespérer.
En tout cas, merci encore pour ton aide.
Je vais arrêter là pour ce soir.
Je repasserai demain voir si tu me suggères autre chose.
Bonne nuit

verni29 · Answer

Re,

C'est un virus assez virulent et bloque pas mal de logiciels de désinfection.

Télécharge DDS de sUBs et sauvegarde-le sur ton bureau.
https://download.bleepingcomputer.com/sUBs/dds.scr

    * Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
    * Double-clique sur dds.scr pour lancer l'outil. Ne double clique qu'une seule fois dessus.
    * Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
    * Sauvegarde les deux rapports sur ton bureau et poste les deux rapports.

A+

Noni · Answer

Outil de sécurité est un drôle de faux virus spyware. vous pouvez suivre ce tutoriel de déménagements qui vous montrera comment faire pour supprimer le virus outil de sécurité de votre ordinateur
http://www.darfuns.com/spyware-removal/security-tool-virus/

marie4409 · Answer

->Noni, merci de t'intéresser à mon cas qui devient de plus en plus désespéré. Mais le site vers lequel tu m'envoies est écrit dans une langue "que j'connais bien"  :-(  Je préfère suivre les indications "pas à pas" de verni29, même si c'est sans résultat pour l'instant.
-> Verni 29: au lancement de dds (bien sur après avoir désactivé bitdefender. Par contre je ne peux pas controler que le pare-feu windows est désactivé. Dès que j'essaie de le faire, Securitytool ouvre une fenetre d'alerte), une fenêtre noire s'est brièvement ouverte puis refermée aussitôt et aucun document texte ne s'est ouvert. 
On est parti pour essayer tous les logiciels de désinfection à ce rythme là ;-) 
(Un peu d'humour ne nuit pas à la décontamination... enfin j'espère car c'est tout ce qui me laisse un soupçon d'espoir en ce moment)
@+

Azufeld · Answer

Bonjour,

Je suis avec attention votre post , car ma mère m'a appelé hier soir pour une infection avec ce même security tool. Etant à distance , je ne peux la dépanner de suite et elle ne connait pas assez l'informatique pour se débrouiller seule.

N'existe t il pas un Fix qui permette d'éradiquer ce faux virus spammeur ( car ce n'est pas un virus à proprement parlé ) ?
As tu essayé de taper sécurity tool dans google pour voir s'il n'existe pas un Fix pour l'éliminer ?

Je suis au bureau , je ne peux pas avoir accès au full internet , mais je regarderais cela ce soir chez moi , et j'espère que vous aurez trouvé une solution d'ici là ... :p

marie4409 · Answer

Bonjour Azufeld,
Ma rapide recherche sur Google m'a orientée sur ce forum. Je ne suis pas assez férue en informatique pour trouver une solution par moi-même, je préfère être guidée pas-à-pas. 
Comme j'aime bien le principe de l'entraide (même si là c'est de l'aide tout court car je ne peux rien échanger vu mon niveau d'informatique) je me suis limitée à poster sur ce forum. J'ai pas envie de courir plusieurs lièvres en même temps et tenter plusieurs solutions qui pourraient venir se téléscoper pour au final empirer l'état de mon pauvre ordi. J'espère de mon côté que vous trouverez également une solution
Cdt

verni29 · Answer

Pour répondre aux autres intervenants sur la discussion :
Il existe des fix qui sont proposés par certains sites.
Je vous mets en garde contre ceux-ci car bien souvent ce sont ces fix qui sont porteurs d'infections.
ce n'est pas une généralité.

La difficulté ici vient que le rogue ou faux antivirus est bien implanté dans le système.

marie4409,

Vu qu'on n'arrive pas à passer les outils de diagnostic pour connaître exactement le nom du processus ( fichier ) bloquant, il faut absolument arriver à identifier le nom exact de ce processus ( sans doute, un nom du genre 4946550101.exe , en tout cas une suite de nombres )

1/ Télécharge HijackThis  sur ton bureau
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
Tu ne l'installes pas.

Note ou imprime les consignes suivantes.

2/ Redémarre en mode sans échec.
Au redémarrage, tapote sur la touche F5 ( ou F8 ).
Choisis le mode sans échec puis choisis ton compte habituel.

3/ Installe Hijackthis en double cliquant sur l'icône du bureau.

# Après l'installation, un raccourci sera crée sur le bureau. Double-clique dessus pour le lancer.
( si sous Vista -->  Click droit et executer en tant qu’administrateur )
# Choisir l'option Do a system scan and save a logfile.

Le rapport va s'ouvrir. Sauvegarde ce fichier sur ton bureau.

dans ce rapport, examine les différentes lignes, il y en a une du genre ( une suite de chiffres au lieu de 4946550101 )
O4 - HKLM\..\Run: [4946550101] %UserProfile%\Application Data\4946550101\4946550101.exe

4/ Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes la ligne que tu as identifiée :

O4 - HKLM\..\Run: [xxxxxxxxxxxxx] %UserProfile%\Application Data\xxxxxxxxxxxxx\xxxxxxxxxxx.exe

Tu choisis l'option " Fixchecked" en bas de la page.

5/ Toujours en mode sans échec, ouvre le poste de travail.

Fais apparaitre les dossiers, fichiers cachés.
Ouvrir le Poste de travail --> Outils --> Options des dossiers --> Onglet Affichage 

    * Vérifier que " Afficher les fichiers et dossiers cachés" est coché.

6/ Dans le poste de travail, navigue jusqu'au dossier :
C:\DOCUMENTS AND SETTINGS\ALLUSERS\APPLICATION DATA\xxxxxxxxx  où xxxxxxxx ce sont les chiffres que tu as trouvé pour le nom du fichier .
Supprime ce dossier ( click droit sur le dossier et supprimer )

Fais en de même pour le dossier :
C:\DOCUMENTS AND SETTINGS\%mon compte%APPLICATION DATA\xxxxxxxxxx où mon compte est ton compte utilisateur ( du genre marie , .... )

Il n'est pas certain que les deux dossiers soient présents.

Redémarre le PC.
Dis moi comment se sont passés les manips.

A+

marie4409 · Answer

Bonsoir verni29,
Tout s'est super bien passé.
Au démarrage de l'ordi, je n'ai plus securitytool qui s'affiche.
Celà veut-il dire que je suis soignée? euh, enfin, mon ordi...?  ;-)
@+

verni29 · Answer

Bonsoir, marie

Désolé pour le retard. Soirée foot !!

Le principal est supprimé sans doute.
On va vérifier tout cela si tu veux bien.

1/ Supprime RSIT.exe, mbam.exe sur ton bureau.
Vérifie qu'il n'y a pas de dossier C:\RSIT, sinon supprime-le.

2/ Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

marie4409 · Answer

Bonjour verni29,
Aucun souci pour le "retard", c'est déjà très sympa de ta part de faire profiter de tes connaissances informatiques. Je ne m'intéresse pas au foot, mais vu les tîtres des journaux, la soirée a dû être stressante !!
voici le rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3195
Windows 5.1.2600 Service Pack 3

19/11/2009 11:07:57
mbam-log-2009-11-19 (11-07-57).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 314290
Temps écoulé: 2 hour(s), 27 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\GamesBar\oberontb.dll (Adware.Gamesbar) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\oberontb.band (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{ad76633e-e50d-4844-9e7f-4dfbc7c18467} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{daa37aad-f156-4c2c-ac48-3c22ef92ae2f} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\oberontb.band.1 (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Program Files\FunWebProducts\Installr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Program Files\FunWebProducts\Installr\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\GamesBar\oberontb.dll (Adware.Gamesbar) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-1547161642-515967899-1801674531-1003\Dc1\14254622.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\pc\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\pc\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Après avoir "supprimer la sélection", une fenêtre s'est ouverte m'informant qu'il était impossible de supprimer certains éléments et qu'il fallait redémarrer l'ordi pour que le processus de suppression se termine.
Dois-je le faire ?
@+

verni29 · Answer

Oui, tu dois le faire ^pour supprimer certains fichiers.

ensuite,

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau. 
http://images.malwareremoval.com/random/RSIT.exe 

# Double-clique sur " RSIT.exe " pour le lancer . 
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis  1 month pour l'option "List files/folders created ...". 
# clique ensuite sur " Continue " pour lancer l'analyse ... 

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence. 

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées. 

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier  C:\rsit.

A+

marie4409 · Answer

le log.txt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by pc at 2009-11-19 18:05:05
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 95 MB (0%) free of 20 GB
Total RAM: 1536 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:22, on 19/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Documents and Settings\pc\Bureau\RSIT.exe
C:\Documents and Settings\pc\Bureau\pc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail?kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://www.ea.com/ea-studios/popcap
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

marie4409 · Answer

et l'info.txt, @+

info.txt logfile of random's system information tool 1.06 2009-11-19 18:05:25

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
Barre d'outils MSN-->C:\Program Files\MSN Toolbar\01.01.2607.0\fr\mtbs.exe c
BitDefender Antivirus 2008-->MsiExec.exe /I{C6E8173D-40EE-4998-B659-CA19F1F278BA}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
dBpoweramp Music Converter-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
Games-Attack-->C:\Program Files\Games-Attack\Uninstall.exe
GamesBar 2.0.1.12-->C:\Program Files\GamesBar\uninst.exe
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HijackThis 2.0.2-->"C:\Documents and Settings\pc\Bureau\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB974455)-->"C:\WINDOWS\ie7updates\KB974455-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 7 (KB976749)-->"C:\WINDOWS\ie7updates\KB976749-IE7\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
OpenOffice.org 3.0-->MsiExec.exe /I{6860B340-530D-46B3-91F8-1AE1F70F7C33}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Realtek AC'97 Audio-->Alcrmv.exe -r -m
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SoundMAX NT-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Analog Devices\SoundMAX Integrated Digital Audio\DeIsL1.isu"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XnView 1.96.2-->"C:\Program Files\XnView\unins000.exe"
Zuma Deluxe 1.0-->C:\Program Files\PopCap Games\Zuma Deluxe\PopUninstall.exe "C:\Program Files\PopCap Games\Zuma Deluxe\Install.log"

=====HijackThis Backups=====

O4 - HKLM\..\Run: [14254622] C:\DOCUME~1\ALLUSE~1\APPLIC~1\14254622\14254622.exe [2009-11-18]

======Security center information======

AV: Bitdefender Antivirus

======System event log======

Computer Name: PC-HOME
Event Code: 4201
Message: Le système a détecté que la carte réseau \DEVICE\TCPIP_{49D39381-1F7C-4A53-9489-2023F36E11D0} était connectée au réseau,
et a lancé une opération normale sur la carte réseau.

Record Number: 5824
Source Name: Tcpip
Time Written: 20090813003156.000000+120
Event Type: Informations
User: 

Computer Name: PC-HOME
Event Code: 4202
Message: Le système a détecté que la carte réseau \DEVICE\TCPIP_{49D39381-1F7C-4A53-9489-2023F36E11D0} était déconnectée du réseau,
et la configuration réseau de la carte a été abandonnée. Si la carte
réseau n'était pas déconnectée, ceci peut indiquer un disfonctionnement.
Contactez le fabricant pour des pilotes mis à jour.

Record Number: 5823
Source Name: Tcpip
Time Written: 20090813003141.000000+120
Event Type: Informations
User: 

Computer Name: PC-HOME
Event Code: 18
Message: Prêt pour l'installation : les mises à jour suivantes ont été téléchargées et sont prêtes pour l'installation. L'installation de ces mises à jour est actuellement planifiée pour le jeudi 13 août 2009 à 03:00 : 
- Mise à jour de sécurité pour Windows XP (KB973815)
- Outil de suppression de logiciels malveillants Windows - août 2009 (KB890830)
- Mise à jour pour Windows XP Service Pack 3 (KB973540)
- Mise à jour de sécurité pour Windows XP (KB973354)
- Mise à jour de sécurité pour Windows XP (KB973507)
- Mise à jour de sécurité pour Windows XP (KB973869)
- Mise à jour de sécurité pour Windows XP (KB956744)
- Mise à jour de sécurité pour Windows XP (KB971557)
- Mise à jour de sécurité pour Windows XP (KB971657)
- Mise à jour de sécurité pour Windows XP (KB960859)

Record Number: 5822
Source Name: Windows Update Agent
Time Written: 20090812224957.000000+120
Event Type: Informations
User: 

Computer Name: PC-HOME
Event Code: 18
Message: Prêt pour l'installation : les mises à jour suivantes ont été téléchargées et sont prêtes pour l'installation. L'installation de ces mises à jour est actuellement planifiée pour le jeudi 13 août 2009 à 03:00 : 
- Mise à jour de sécurité pour Windows XP (KB973815)
- Outil de suppression de logiciels malveillants Windows - août 2009 (KB890830)
- Mise à jour de sécurité pour Windows XP (KB973354)
- Mise à jour de sécurité pour Windows XP (KB973507)
- Mise à jour de sécurité pour Windows XP (KB973869)
- Mise à jour de sécurité pour Windows XP (KB956744)
- Mise à jour de sécurité pour Windows XP (KB971557)
- Mise à jour de sécurité pour Windows XP (KB971657)
- Mise à jour de sécurité pour Windows XP (KB960859)

Record Number: 5821
Source Name: Windows Update Agent
Time Written: 20090812221350.000000+120
Event Type: Informations
User: 

Computer Name: PC-HOME
Event Code: 18
Message: Prêt pour l'installation : les mises à jour suivantes ont été téléchargées et sont prêtes pour l'installation. L'installation de ces mises à jour est actuellement planifiée pour le jeudi 13 août 2009 à 03:00 : 
- Mise à jour de sécurité pour Windows XP (KB973815)
- Outil de suppression de logiciels malveillants Windows - août 2009 (KB890830)
- Mise à jour de sécurité pour Windows XP (KB973354)
- Mise à jour de sécurité pour Windows XP (KB973507)
- Mise à jour de sécurité pour Windows XP (KB973869)
- Mise à jour de sécurité pour Windows XP (KB956744)
- Mise à jour de sécurité pour Windows XP (KB971557)
- Mise à jour de sécurité pour Windows XP (KB971657)

Record Number: 5820
Source Name: Windows Update Agent
Time Written: 20090812220830.000000+120
Event Type: Informations
User: 

=====Application event log=====

Computer Name: PC-HOME
Event Code: 1004
Message: 
Record Number: 1155
Source Name: WgaSetup
Time Written: 20090624190611.000000+120
Event Type: Informations
User: 

Computer Name: PC-HOME
Event Code: 1002
Message: 
Record Number: 1154
Source Name: WgaSetup
Time Written: 20090624190611.000000+120
Event Type: Informations
User: 

Computer Name: PC-HOME
Event Code: 1006
Message: 
Record Number: 1153
Source Name: WgaSetup
Time Written: 20090624190610.000000+120
Event Type: Informations
User: 

Computer Name: PC-HOME
Event Code: 101
Message: msnmsgr (3764) Le moteur de base de données est arrêté.

Record Number: 1152
Source Name: ESENT
Time Written: 20090624133624.000000+120
Event Type: Informations
User: 

Computer Name: PC-HOME
Event Code: 103
Message: msnmsgr (3764) \.\C:\Documents and Settings\pc\Local Settings\Application Data\Microsoft\Messenger\b.jef@hotmail.fr\SharingMetadata\Working\database_D8C8_DC21_C8DB_FFA4\dfsr.db: Le moteur de base de données a arrêté une instance (0).

Record Number: 1151
Source Name: ESENT
Time Written: 20090624133624.000000+120
Event Type: Informations
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0801
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%

-----------------EOF-----------------

blood404 · Answer

salut

juste pour dire

EoBHO Class - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll [] 

infection eorezo 

 (ADR)

bon courage verni

verni29 · Answer

Re, 

EoBHO Class - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll [] 

Oui, je connais.
Merci.

@+

blood404 · Answer

alors je te laisse continue :)

bonne chance

verni29 · Answer

1/ Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

Tu choisis l'option " Fixchecked" en bas de la page.

2/ Télécharge AD-Remover sur ton bureau :
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Tu te déconnectes du net et ferme toutes les applications en cours.

    * Double-clique sur AD-R.exe et installe-le.
    * Double-clique sur le raccourci crée sur le bureau.
    *  Au menu principal, choisis l'option "L" pour effectuer le nettotyage .

Un rapport Va apparaitre. Poste le contenu dans ton prochain message.

Note : Il se trouve en C:\AD-Report-SCAN.log

A+

marie4409 · Answer

Voilà un peu de lecture  ;-)
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_C | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 16.11.2009 à 22:21
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:28:15, 19/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: PC-HOME | Utilisateur actuel: pc
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350} 
HKLM\software\Games-Attack 
HKLM\software\GamesBar 
HKLM\software\GamesBarSetup 
HKCU\software\EoRezo 
HKCU\software\Games-Attack 
HKCU\software\GamesBar 
HKLM\software\classes\EoRezoBHO.EoBHO 
HKLM\software\classes\EoRezoBHO.EoBHO.1 
HKLM\software\classes\appid\EoRezoBHO.DLL 
HKLM\software\classes\appid\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9} 
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E} 
HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74} 
HKLM\software\microsoft\windows\currentversion\uninstall\GamesBar 
HKLM\software\microsoft\windows\currentversion\uninstall 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BitDefender Antiphishing Helper
.
C:\DOCUME~1\pc\APPLIC~1\EoRezo
C:\DOCUME~1\ALLUSE~1\APPLIC~1\gamesbar
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Games-Attack
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\GamesBar
C:\Program Files\Games-Attack
C:\Program Files\GamesBar
C:\DOCUME~1\pc\Cookies\pc@simyo[2].txt
 
(!) -- Fichiers temporaires supprimés. 
 
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.google.com
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
2667 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
3630 Fichier(s) - C:\DOCUME~1\pc\LOCALS~1\Temp 
102 Fichier(s) - C:\WINDOWS\Temp 
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
58 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 20:33:38 | 19/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.

verni29 · Answer

OK, 

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

marie4409 · Answer

Je n'arrive pas à désactiver totalement Bitdefender J'ai bien "arrêté" Bitdefender dans la barre des taches (il n'y a plus d'icône à coté de l'horloge) mais quand je lance ComboFix, j'ai le message suivant "ComboFix a detecté que le(s) scanneur(s) en temps réels suivant(s) est (sont) actifs: Bitdefender Antivirus.......Veuillez les désactiver avant de cliquer sur "OK"" puis j'ai un message m'informant que ComboFix va continuer à mes risques et périls
Quand je vais voir dans la config de Bitdefender, l'antivirus, le contrôle d'identité et la mise à jour sont désactivés mais l'antiphishing est toujours activé sans que j'ai une commande pour l'arrêter.
Sais-tu comment faire ?

verni29 · Answer

Fais ceci pour stopper les services de Bitdefender.
Démarrer --> exécuter --> tape successivement ceci : puis valide à chaque fois :

sc stop XCOMM
sc stop VSSERV
sc stop LIVESRV
sc stop scan

reessaie de lancer ComboFix.
Si cela marche, après le scan, tape :

sc start XCOMM
et les  mêmes lignes mais avec sc start.

A+

marie4409 · Answer

J'ai bien saisi les commandes, mais j'ai encore le même message de ComboFix   :-(

verni29 · Answer

OK,

Ouvre le gestionnaire de taches ( tape sur CTRL+ALT+SUPP ).
Dans l'onglet processus , clique sur IEShow.exe
Puis choisis arrêter le processus.

Ferme le gestionnaire de taches ( click sur la croix en haut ).
Lance combofix.

A+

marie4409 · Answer

j'ai pas IEShow.exe  :-(
J'ai encore ma clé d'enregistrement de Bitdefender, je peux peut-être le désinstaller ?

verni29 · Answer

Non, pas la peine de le désinstaller complètement.

Redémarre le PC en mode sans échec avec prise en charge réseau ( IMPORTANT, pour l'accès au net ).

Une fois sous ce mode , connecte toi au net et lance ComboFix.
Combofix aura besoin de se connecter pour télécharger et installer la console de récupération.

A+

marie4409 · Answer

BitDefender est coriace... même en mode sans échec, j'ai le même message...
J'ai retapé les commandes et ai contrôlé que IEShow.exe n'était pas un processus actif et j'ai encore eu le même message de ComboFix  :-(

verni29 · Answer

On ne va pas le lancer.
Je ne vois pas d'autres traces d'infections dans le rapport et security tool est supprimé.

lance un scan en ligne avec ESET ( avec IE )
Suis le tuto  : https://forum.pcastuces.com/default.asp

A+ ( ou a demain plus tôt )

marie4409 · Answer

Bonjour,
Voilà le rapport, à priori y'a encore un souci  :-(
A propos de souci, je viens de me rendre compte que BitDefender déconnait car il ne se mettait plus à jour, je l'ai désinstallé/réinstallé (après le scan ESET)
Je pars en WE d'ici peu, je ne me reconnecterai que dimanche soir. Si on échange pas avant, je te souhaite une bonne journée et un bon week-end
@+

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.16915 (vista_gdr.090826-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=c056d74d807e444794c9b4451f4cf151
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-11-20 02:15:55
# local_time=2009-11-20 03:15:55 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 181141 181141 0 0
# compatibility_mode=2048 16777175 100 0 31208393 31329326 0 0
# compatibility_mode=8192 67108863 100 0 3846 3846 0 0
# scanned=189220
# found=1
# cleaned=0
# scan_time=15193
C:\Program Files\Ad-Remover\QUARANTINE\PROGRA~1\GAMES-~1\Uninstall.exe.vir	a variant of Win32/Adware.Agent.NMZ application	00000000000000000000000000000000	I

verni29 · Answer

Deux posts et on aura terminé.

Mets à jour ton PC. Important pour ne pas avoir de failles de sécurité sur son ¨PC.

1/ Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/

2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée. Poste-le.

3/ Va sur le site de secunia et vérifie les versions logicielles de ton PC.
https://www.flexera.com/products/operations/software-vulnerability-management.html
Clique sur Start scanner pour lancer l'analyse.

A+

marie4409 · Answer

Bonsoir,
De retour de WE, je me suis remise à suivre tes directives.
J'ai réussi à obtenir le rapport de JavaRa à la deuxième tentative (le logiciel a planté lors du premier lancement)
Lors du scan Secunia, j'ai eu un message annonçant un pb sur l'activX Acrobat Reader: j'ai fait la mise à jour suggérée, redémarré l'ordi et refait un scan Secunia: pas d'erreur

Ci-dessous le rapport JavaRa:

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun Nov 22 20:41:22 2009

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\pc\Application Data\Sun\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\pc\Application Data\Sun\Java\jre1.6.0_10

Found and removed: C:\Documents and Settings\pc\Application Data\Sun\Java\jre1.6.0_11

Found and removed: C:\Documents and Settings\pc\Application Data\Sun\Java\jre1.6.0_14

Found and removed: C:\Documents and Settings\pc\Application Data\Sun\Java\jre1.6.0_15

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_07

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_07

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun Nov 22 20:41:49 2009

------------------------------------

Finished reporting.



@+

verni29 · Answer

On termine.
Si tu as des questions, n'hésite pas.

1) On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

2/ Tu vas utiliser CCleaner. 
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner 

utilise les fonctions nettoyeur et registre. 

3) Il est préférable maintenant que ton PC est propre de nettoyer la restauration système  et de créer un point propre pour une utilisation ultérieure.

Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système 

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

--------------------------------------------------------------------------------------------------------

Ton PC est propre.
Sois prudent(e) dans ton surf. 

Une lecture pour t'éclairer sur les risques : projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

---------------------------------------------------------------------------------------------------------

/!\ Tu peux aussi dénoncer ton infection /!\ 
http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10

Lis l'article suivant pour t'aider dans la démarche : http://www.malekal.com/malwarecomplaints.html
Pour ton cas, choisis l'infection Autres infections.
Précise ensuite que tu as été infecté par le rogue Security Tool.

-----------------------------------------------------------------------------------------------------------

Peux-tu mettre le sujet en résolu ? Merci.

En te souhaitant bonne lecture et bon surf.

@+

marie4409 · Answer

Voilà donc le dernier rapport (celui de ToolsCleaner)
Merci beaucoup pour ton aide et ta disponibilité.
Peux-tu me dire si je suis "suffisament" protégée avec le pare-feux de windows xp et Bitdefender ? Sinon que me conseilles-tu ?

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\pc\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\pc\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\pc\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\pc\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\pc\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\pc\Bureau\dds.scr: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\pc\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\pc\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\pc\Bureau\Ad-R.exe: supprimé !
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: supprimé !
C:\Documents and Settings\pc\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\pc\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\pc\Bureau\dds.scr: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !

verni29 · Answer

Oui, Tu es assez protégé.
Bitdefender est une bonne solution de sécurité.

Tu peux activer Windows Defender qui est l'antispyware de Windows.

Bouton demarrer --> Tous les programmes
Ouvrir Windows defender 
menu outils --> Options --> cocher "Utiliser la protection en temps réel"

@+

marie4409 · Answer

Merci beaucoup pour tout
@+... même si j'espère ne pas avoir un jour besoin de tes services  ;-)
Marie

blood404 · Answer

combofix na pas était supprimer verni29

verni29 · Answer

Si, 

C'est un bug de toolscleaner.

@+

blood404 · Answer

tes sure??

verni29 · Answer

Re,

Il te suffit de le tester pour le vérifier.

@+

Virus securitytool

51 réponses

Discussions similaires

Newsletters