virus et pc très lentRésolu/Fermé

Question

Bonjour,
Je rencontre depuis un certain temps des difficultés sur mon PC qui est devenu très lent lors de connexion sur internet.

Logfile of HijackThis v1.99.1
Scan saved at 14:49:18, on 22/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard
hksrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Program Files\Accélérateur de débit Alice\AccAlice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Apps\ActivBoard\OSD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Accélérateur de débit Alice\AccAlice-gui.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alice\Dialer\Dialer.exe
C:\WINDOWS\sllights.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\marcel\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ww25.planetis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7500
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [zzzHPSETUP] Q:\Setup.exe \RESET
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AliceParam] C:\Program Files\Alice\Dialer\bootparam.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Program Files\Accélérateur de débit Alice\AccAlice.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linewsrv.exe /run
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - Global Startup: Accélérateur de débit Alice.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Fast Start.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Afficher l'image originale. - res://C:\Program Files\Accélérateur de débit Alice\gui_resource.dll/328
O8 - Extra context menu item: Afficher toutes les images originales. - res://C:\Program Files\Accélérateur de débit Alice\gui_resource.dll/327
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://ww25.planetis.com/
O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} - http://barremagique.aliceadsl.fr/download/BarreMagique.cab
O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1064_XP.cab
O16 - DPF: {5FD9726A-4977-449D-8352-25FDD8A510B5} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1067_em_XP.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CB5D474E-A510-40A4-B5A4-838933BCBA64} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1065_XP.cab
O16 - DPF: {FA1D6D8F-C6ED-4752-8512-A33283240130} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1066_XP.cab
O16 - DPF: {FBF65A16-C9AB-465E-AECE-D2D9D5AB5E60} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1067_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AE11410-66D8-4646-8B79-D6D8A1EFD20C}: NameServer = 213.36.80.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Merci de votre aide car je patauge.
Sophie

philae83 · Answer

Bonjour,

* Télécharge  Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
 (de F-Secure)
(le premier de la page)

Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe  et accepte la licence;
clique Scan  puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log  (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
 NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
 car des fichiers légitimes peuvent être présents,  tel wbemtest.exe

Pachas · Answer

Je viens de faire ce que tu m'as dis mais je n'ai pas de rapport qui s'affiche sur mon bureau.
Je suis en train de refaire la manip, j'ai du louper quelquechose.

philae83 · Answer

je pense normalement tu devrais,
sinon recherche le bureau un nommé fsbl.xxxxxxx.log

Pachas · Answer

ça y est, je viens de le trouver :

01/22/07 15:23:49 [Info]: BlackLight Engine 1.0.55 initialized
01/22/07 15:23:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/22/07 15:23:50 [Note]: 7019 4
01/22/07 15:23:50 [Note]: 7005 0
01/22/07 15:23:57 [Note]: 7006 0
01/22/07 15:23:57 [Note]: 7011 1124
01/22/07 15:23:57 [Note]: 7026 0
01/22/07 15:23:58 [Note]: 7026 0
01/22/07 15:23:58 [Note]: 7024 3
01/22/07 15:23:58 [Info]: Hidden process: C:\windows\system32\ifqgdcbrjp.exe
01/22/07 15:24:03 [Note]: FSRAW library version 1.7.1021
01/22/07 15:35:59 [Info]: Hidden file: c:\WINDOWS\system32\ifqgdcbrjp.dat
01/22/07 15:35:59 [Note]: 10002 1
01/22/07 15:36:00 [Info]: Hidden file: C:\windows\system32\ifqgdcbrjp.exe
01/22/07 15:36:00 [Note]: 10002 1
01/22/07 15:36:01 [Info]: Hidden file: c:\WINDOWS\system32\ifqgdcbrjp_nav.dat
01/22/07 15:36:01 [Note]: 10002 1
01/22/07 15:36:01 [Info]: Hidden file: c:\WINDOWS\system32\ifqgdcbrjp_navps.dat
01/22/07 15:36:01 [Note]: 10002 1
01/22/07 15:39:09 [Note]: 2000 1012
01/22/07 15:39:09 [Note]: 2000 1012
01/22/07 15:41:37 [Note]: 7007 0

philae83 · Answer

OK
je te prépare les manips à effectuer, je reviens dans un petit moment

philae83 · Answer

re


réinstalle HijackThis correctement, il ne doit pas se situer dans les fichiers temporaires.
C:\DOCUME~1\marcel\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe 

ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

 

aide pour le mode sans échec :

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

 

*  Télécharge  CCleaner

http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite).

  

Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

 
 

* télécharge Brute Force Uninstaller

http://www.merijn.org/files/bfu.zip
 

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://metallica.geekstogo.com/EGDACCESS.bfu

 
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)

 
* FAIS UN CLIC-DROIT sur le lien ci dessous

http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

 
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)

 
* Navipromo.zip (par lazzzy)

http://perso.numericable.fr/%7Ealtshift/Info/Fichiers/Navipromo07.zip

et décompresse-le sur ton bureau
 

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****

* relance HijackThis pour un scan seulement, coche et fixe ces lignes :

O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linewsrv.exe /run 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} - http://barremagique.aliceadsl.fr/download/BarreMagique.cab
O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1064_XP.cab
O16 - DPF: {5FD9726A-4977-449D-8352-25FDD8A510B5} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1067_em_XP.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CB5D474E-A510-40A4-B5A4-838933BCBA64} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1065_XP.cab
O16 - DPF: {FA1D6D8F-C6ED-4752-8512-A33283240130} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1066_XP.cab
O16 - DPF: {FBF65A16-C9AB-465E-AECE-D2D9D5AB5E60} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1067_XP.cab 

puis

* via ajout et suppression de programme, supprime si tu le trouves
InstantAccess

puis

*  Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


* recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\WINDOWS\system32\linewsrv.exe
C:\programFiles\instantaccess

*  Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

 
*  lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

 
* Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Sélectionne l'option "Recherche et suppression automatique". Patiente.

S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.
 

Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
 

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.

 
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu

 
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 
* Clique sur "Execute" et laisse-le faire son travail.

Attendre que "Complete script execution" apparaîsse et clique sur OK.

* Clique exit pour fermer le programme BFU.

Recommence encore une fois.

 
* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.

 
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu

 
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu

 
* Clique sur "Execute" et laisse-le faire son travail.

Attendre que "Complete script execution" apparaîsse et clique sur OK.

 
* Clique exit pour fermer le programme BFU.

Recommence encore une fois.

 
* Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

 
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"



 
=> Supprime-les tous

 
* Redémarre normalement et poste :

- un nouveau rapport HijackThis,

- le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

 
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Pachas · Answer

Je viens de faire toutes les manip.
Je n'ai pas trouvé les fichiers :
C:\WINDOWS\system32\linewsrv.exe 
C:\programFiles\instantaccess 

Pour Brute Force Uninstaller, j'ai fais les manip sauf que EGDACCESS.bfu  et Winsoftware.bfu  sont dans c:\programFiles\EGDACCESS.bfu et c:\programFiles\Winsoftware.bfu



Logfile of HijackThis v1.99.1
Scan saved at 18:26:29, on 22/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard
hksrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Accélérateur de débit Alice\AccAlice.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Program Files\Accélérateur de débit Alice\AccAlice-gui.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\marcel\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ww25.planetis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [zzzHPSETUP] Q:\Setup.exe \RESET
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SlipStream] "C:\Program Files\Accélérateur de débit Alice\AccAlice.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - Global Startup: Accélérateur de débit Alice.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Fast Start.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://ww25.planetis.com/
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe


Voici le contenu du fichier Navipromo.txt :

Rapport Navipromo.bat 0.71 effectué le 22/01/2007 à 18:07:47.00

L'opération se déroule en mode sans échec sous le compte marcel 

## Vérifications supplémentaires 

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux. 

* Navipromo

C:\WINDOWS\System32

ifqgdcbrjp.exe
ifqgdcbrjp_navps.dat
ifqgdcbrjp.dat
ifqgdcbrjp.dat

* Trojan Nebula 



 * Trojan Vundo 

 
-------------

Rapport Navipromo.bat 0.71 effectué le 22/01/2007 à 18:08:46.43

L'opération se déroule en mode sans échec sous le compte marcel 

** Recherche...

1/ ifqgdcbrjp trouvé, recherche de ifqgdcbrjp* 
C:\WINDOWS\system32\ifqgdcbrjp.dat
C:\WINDOWS\system32\ifqgdcbrjp.exe
C:\WINDOWS\system32\ifqgdcbrjp_nav.dat
C:\WINDOWS\system32\ifqgdcbrjp_navps.dat
C:\WINDOWS\prefetch\IFQGDCBRJP.EXE-0DBD54A1.pf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    ifqgdcbrjp	REG_SZ	c:\windows\system32\ifqgdcbrjp.exe ifqgdcbrjp

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode 

################################################

** Nettoyage...

1/ Déplacement de ifqgdcbrjp* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\ifqgdcbrjp* déplacé avec succès !
C:\WINDOWS\prefetch\ifqgdcbrjp* déplacé avec succès

 ------------------
* Suppression clés et valeurs de registre 
1 entrées de registre netttoyées 

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\ifqgdcbrjp.dat
C:\Navipromo\Backups\ifqgdcbrjp.exe
C:\Navipromo\Backups\IFQGDCBRJP.EXE-0DBD54A1.pf
C:\Navipromo\Backups\ifqgdcbrjp_nav.dat
C:\Navipromo\Backups\ifqgdcbrjp_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression

Merci de ton aide.
Sophie

philae83 · Answer

re

ok, peux tu reposter un rapport blacklight stp
et
fait un scan avec AVG antispy, poste le rapport ensuite

Pachas · Answer

Voici le rapport de blacklight :

01/22/07 20:39:18 [Info]: BlackLight Engine 1.0.55 initialized
01/22/07 20:39:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/22/07 20:39:19 [Note]: 7019 4
01/22/07 20:39:19 [Note]: 7005 0
01/22/07 20:39:25 [Note]: 7006 0
01/22/07 20:39:25 [Note]: 7011 1124
01/22/07 20:39:26 [Note]: 7026 0
01/22/07 20:39:26 [Note]: 7026 0
01/22/07 20:39:33 [Note]: FSRAW library version 1.7.1021
01/22/07 20:45:00 [Note]: 2000 1012
01/22/07 20:45:00 [Note]: 2000 1012
01/22/07 20:45:35 [Note]: 7007 0

Je lance de ce pas AVG antispyware.

Pachas · Answer

Voici le rapport de AVG antispyware :

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	21:24:29 22/01/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{A18B8241-3D43-4CD1-B24F-86CEE7794287}\RP230\A0042717.exe -> Dialer.InstantAccess.ad : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

philae83 · Answer

ok, parfait

tu ne devrais plus avoir de problème maintenant ?

Pachas · Answer

Pour l'infection détectée par avg anti spyware, il faut juste le laisser en quarantaine ou le suppirmer définitivement ?

Sinon, ça a l'air d'aller mieux.

Merci pour tout et bonne soirée

philae83 · Answer

d'où ma question si ton pc tournait normalement, si c'est le cas
il faut

démarrer-----------panneau de configuration------------système----------

onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------

redémarre l'ordinateur
et la ré activer.

Pachas · Answer

Alors, je touche du bois car ça a l'air de fonctionner correctement.

J'ai fais la dernière manip (d'où ma question si ton pc tournait normalement, si c'est le cas 
il faut 

démarrer-----------panneau de configuration------------système---------- 

onglet Restauration système-----------coche la case (Désactiver la restauration système)-------------- 

redémarre l'ordinateur 
et la ré activer.)

Au fait, c'était bien 1 virus qui ralentissait mon PC ?
Et comme Anti virus, tu conseilles lequel ? 

Et encore merci de ton aide.
Bonne soirée

philae83 · Answer

tu étais infecté par navipromo

comme antivirus gratuit ? AVAST

Pachas · Answer

Bonjour

Je reviens vers vous car mon pc est à nouveau très lent, je viens de mettre au moins 5 mn pour avoir la page qui s'ouvre. Je suis entrain de télécharger f secure blacklight. Ce logiciel ne veut pas s'ouvrir, j'ai le message suivant :évaluation period expired donc je vais télécharger panda




Je reposte un log de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:38:59, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard
hksrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\sllights.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ww25.planetis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [zzzHPSETUP] Q:\Setup.exe \RESET
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ww25.planetis.com/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AE11410-66D8-4646-8B79-D6D8A1EFD20C}: NameServer = 213.36.80.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

philae83 · Answer

bonsoir,

 j'ai le message suivant :évaluation period expired 

il est trop "vieux" supprime le et retélécharge le ici
https://www.f-secure.com/en/business/support-and-downloads/security-advisories

Pachas · Answer

Bonjour

j'ai fais 1 scan avec fsecure ..., rien trouvé.  Tous les autres rapports ne trouvent pas de problèmes, je n'y comprend rien.
http://www.commentcamarche.net/forum/affich 4015853 log hijackthis pc qui rame help#dernier
Merci qd même

Pachas · Answer

Bonjour

voici le rapport de blacklight, il y a l'air de ne rien y avoir.
ça pourrait venir de quoi mon problème de pc extrêment lent ??


11/15/07 13:40:04 [Info]: BlackLight Engine 1.0.67 initialized
11/15/07 13:40:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/15/07 13:40:06 [Note]: 7019 4
11/15/07 13:40:06 [Note]: 7005 0
11/15/07 13:40:14 [Note]: 7006 0
11/15/07 13:40:14 [Note]: 7011 1136
11/15/07 13:40:15 [Note]: 7026 0
11/15/07 13:40:15 [Note]: 7026 0
11/15/07 13:40:29 [Note]: FSRAW library version 1.7.1024
11/15/07 13:50:11 [Note]: 2000 1012
11/15/07 13:50:11 [Note]: 2000 1012
11/15/07 13:52:14 [Note]: 7007 0

Pachas · Answer

Est ce que quelqu'un pourrait juste me dire si mes rapports comportent des erreurs 

Merci

Virus et pc très lent

20 réponses

Newsletters