Ads served by addsite/!\Fermé

Question

Bonsoir,

j'ai un problème avec les fenêtres Ads served by addsite qui s'ouvre intempestivement, avec des pubs de tout,
ce qui est très pénible.

J'ai fait quelques recherches sur internet et trouvé plein de chose a faire,
mais je ne voudrai faire aucune bêtise qui risque de faire planter mon ordinateur.

Je voudrais vous demander alors les étapes requissent pour résoudre ce problème.

Merci d'avance,

bonsoir,

Ety

Ety.trial · Answer

Bonsoir!

personne ne pourrez m'indiquer les consignes a faire?

Merci!

Ety

afideg · Answer

Bonsoir


Avec connexion au Net en service, 
- Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download  ] > avec un installeur. 
- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
 et enregistre-le sur le bureau. 
Installe-le.
- Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
- Et un raccourci pour lancer l’analyse apparaît sur le bureau.
•- Reconnecte ton modem.
•- Arrête puis Redémarre ton PC impérativement.

Et fais comme indiqué sur ce tuto  Tuto: https://bibou0007.forumpro.fr/t108-tutorial-de-hijackthis-v2-0-2
Poste le rapport ici , SVP
Merci
Al.

Ety.trial · Answer

Merci de la réponse Afideg.
Je postes comme prévu le rapport fait par HijackThis :





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:33, on 09/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Gamevance\gamevance32.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Larousse\Tout sur les verbes Français\bin\Hyperappel.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\OFFICE One6.5\OFFICE One Notes\oonotesv65.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\OFFICE One6.5\program\soffice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32
shC6.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C3D1FF3C-F180-4D84-AE67-1CA44E86F68C} - (no file)
O2 - BHO: MySidesearch Search Assistant - {DDFA1356-E6ED-42a5-9D62-93211D424A90} - C:\WINDOWS\system32\mysidesearch_sidebar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Gamevance] C:\Program Files\Gamevance\gamevance32.exe
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "J:\Clone CD\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [EPSON Stylus Photo R360 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE /FU "D:\DOCUME~1\etienne\LOCALS~1\Temp\E_S17D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "j:\counter\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OFFICE One 6.5.lnk = C:\Program Files\OFFICE One6.5\program\quickstart.exe
O4 - Global Startup: Hyperappel de 'Tout sur les verbes Français'.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OFFICE One Notes v6.5.lnk = C:\Program Files\OFFICE One6.5\OFFICE One Notes\oonotesv65.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe

afideg · Answer

Bonsoir Ety.trial

Patiente encore quelques minutes SVP

Al

afideg · Answer

(suite) Je ne sais pas tout faire maintenant. Il y a des choses que je ne trouve pas == > voir OAD O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe > •-Enregistre-le sur ton bureau •- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter »  une page bleue s’affiche. •- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : taper (ou faire un copier/coller de) : valeur à rechercher avec l’extension du fichier , soit NTSpool.exe puis [Enter]  une nouvelle page bleue s’affiche. - Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp > •- OAD va maintenant rechercher le fichier. Laisse-le travailler jusqu'à ce qu'il en ait terminé. Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes. Patienter. •- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé. •- Faire un copier/coller de ce rapport dans ton prochain post. •-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation". Recommence la même chose avec cette saleté WinSecure.exe Merci Après ces renseignements, ça ira plus vite. Je suis prêt Al

afideg · Answer

Allo ?

Je vais très bientôt au lit 
Al.

afideg · Answer

Désolé
je vais au lit
Merci pour ta cool attitude.

J'attends impatiemment les résultats OAD demandés.
Al

Ety.trial · Answer

Bonjour,
désolé,
j'ai arrêté l'ordinateur,
merci beaucoup de m'avoir répondu.
Je vais faire ce que tu m'as dit de faire.

Je lance la procédure.

Rapport n°1 pour NTSpool.exe



 10/03/2008 ---- 16:29:42,23  

----------------------------------
§§§§§§ [NTSpool.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"NTSpool"="NTSpool.exe"

[HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\NTSpool.exe"="NTSpool"

*******************
     [Fichier] 
*******************

c:\WINDOWS\system32\NTSpool.exe


*********************
     [Même date] 
*********************

[19/02/2007 ] ---> C:\WINDOWS\system32\NTSpool.exe   



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------







Rapport n°2 pour WinSecure.exe 





 10/03/2008 ---- 16:32:25,90  

----------------------------------
§§§§§§ [WinSecure.exe ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------



Merci,
j'attends la suite des consignes,


Ety

afideg · Answer

Bonjour OK, pas de problème Voici la première phase de procédure. Le reste sera plus commode ensuite. ATTENTION: Cette manipulation doit être exécutée sans faute aucune. Si tu ne t'en sens pas capable, préviens-moi. Si tu hésites, stoppe et questionne-moi 1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ > (donc, clic sur le lien, [enregistrer], choisir le bureau, [enregistrer] ; on obtient l’icône du fichier « Avenger.zip » sur le bureau) Clic-droit sur Avenger.zip, puis « Ouvrir » le fichier. On obtient une page avec, dans le panneau de droite le fichier “avenger.exe” . 2)- Sélectionner ( mettre en surbrillance ) le texte ci-dessous, et appuyer sur les touches (Ctrl+C): Files to delete: C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Gamevance\gamevance32.exe C:\WINDOWS\system32\mysidesearch_sidebar.dll C:\WINDOWS\system32 shC6.dll C:\WINDOWS\system32\NTSpool.exe C:\WINDOWS\system32\WinSecure.exe C:\WINDOWS\system32\iebrowserc.dll C:\Program Files\free-downloads.net bfree.dll C:\Program Files\free-downloads.net C:\WINDOWS\system32\adssite-remove.exe C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe C:\WINDOWS\system32\Adssite_sidebar.dll C:\WINDOWS\system32\iebrowserc.dll J:\Clone CD\CloneCD\CloneCDTray.exe Folders to delete: J:\Clone CD C:\Program Files\Gamevance C:\Program Files\Bonjour Registry keys to delete: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C3D1FF3C-F180-4D84-AE67-1CA44E86F68C} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DDFA1356-E6ED-42a5-9D62-93211D424A90} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Windows Security Tool HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NTSpool Registry values to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall | WinSecureDisc HKEY_LOCAL_MACHINE\SOFTWARE | WinSecureDisc HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | NTSpool HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache | C:\WINDOWS\system32\NTSpool.exe Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. Si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. 3)- Double-clic sur ce fichier “avenger.exe” ==> répondre OUI, à l’avertissement pour continuer. Colle alors le script (que contient actuellement ta souris) dans la plage “Input script here” ==> Pour cela, pointer la souris dans le coin supérieur gauche de cette plage, et cliquer; puis CTL+V Coche le bouton ratio devant “Automatically disable any rootkits found”. •- Cliquer [Exécuter] (Attention : Si l'icône en forme de Feu Vert existe encore à cette étape, comme ceci < http://img78.imageshack.us/img78/5258/screenshot265wz9.gif > (mais je ne le pense pas) clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script. Réponds "Yes" deux fois quand demandé.) 4)- The Avenger va automatiquement faire ce qui suit: Il va re-démarrer le système. Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL. Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 5)- Relance HJT (= HijackThis) « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes (si elles existent encore ): O2 - BHO: (no name) - {C3D1FF3C-F180-4D84-AE67-1CA44E86F68C} - (no file) O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32 shC6.dll O2 - BHO: MySidesearch Search Assistant - {DDFA1356-E6ED-42a5-9D62-93211D424A90} – O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file) O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [CloneCDTray] "J:\Clone CD\CloneCD\CloneCDTray.exe" / O4 - HKCU\..\Run: [Steam] "j:\counter\steam.exe" -silent O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe O4 - HKCU\..\Run: [EPSON Stylus Photo R360 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE /FU "D:\DOCUME~1\etienne\LOCALS~1\Temp\E_S17D.tmp" /EF "HKCU" O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe O4 - HKLM\..\Run: [Gamevance] C:\Program Files\Gamevance\gamevance32.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - Microsoft - WGA O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - => MSN Games O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - •-Arrête tous les programmes en cours et ferme toutes les fenêtres. ( seul HijackThis doit être ouvert ) , •- et ensuite Clic [Fix checked] ==> (fixer =corriger) Aide en images ==> Fixer ligne avec HJT http://dcangeldark.blogspot.com/2008/02/hijackthis-202-corriger-des-lignes.html 6°- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport HijackThis. Bonne chance Al.

Ety.trial · Answer

merci,

je voulais savoir s'il fallait que dans the Avenger,
il fallait aussi que je mettes:

"Files to delete:"

Si oui, je suis pret a lancer The Avanger.

Ety

Ety.trial · Answer

Désolé du double post,
mais faut-il que je laisse cocher la case scan for rootkits 


Merci

Ety

afideg · Answer

Re

Oui, tout ce qui est en gras ( autrement dit "le texte ci-dessous" )
Attention, pour copier il faut impérativement faire CTRL+C
(autrement dit appuyer simultanément sur les touches CTRL(=Control) et C  ==> pas sur le + !!)
Idem pour coller ==> CTRL + V

Je recommence ==> par "tout ce qui est en gras ci-dessous", je veux dire ce qui suit:

Files to delete: 
C:\Program Files\Bonjour\mDNSResponder.exe 
C:\Program Files\Gamevance\gamevance32.exe 
C:\WINDOWS\system32\mysidesearch_sidebar.dll 
C:\WINDOWS\system32
shC6.dll 
C:\WINDOWS\system32\NTSpool.exe 
C:\WINDOWS\system32\WinSecure.exe 
C:\WINDOWS\system32\iebrowserc.dll 
C:\Program Files\free-downloads.net	bfree.dll 
C:\Program Files\free-downloads.net 
C:\WINDOWS\system32\adssite-remove.exe 
C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe 
C:\WINDOWS\system32\Adssite_sidebar.dll 
C:\WINDOWS\system32\iebrowserc.dll 
J:\Clone CD\CloneCD\CloneCDTray.exe 

Folders to delete: 
J:\Clone CD 
C:\Program Files\Gamevance 
C:\Program Files\Bonjour 

Registry keys to delete: 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C3D1FF3C-F180-4D84-AE67-1CA44E86F68C} 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93} 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2} 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DDFA1356-E6ED-42a5-9D62-93211D424A90} 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949} 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Windows Security Tool 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NTSpool 

Registry values to delete: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall | WinSecureDisc 
HKEY_LOCAL_MACHINE\SOFTWARE | WinSecureDisc 
HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\Curre­ntVersion\Policies\Explorer\Run | NTSpool 
HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\Shell­NoRoam\MUICache | C:\WINDOWS\system32\NTSpool.exe


Lis tranquillement une fois tout, avant de t'emballer.   ;)
Bonne chance
Al

afideg · Answer

(suite)

==> laisser cocher la case scan for rootkits  ==> OUI

Ety.trial · Answer

merde,
y'a un problème.
Y'a un message qui dit error.


..

:s


Ety

afideg · Answer

Re, Quand obtiens-tu ce message "erreur" ==> pas d'autre indication dans le message ?? C'est après ou avant de coller le script ? Pour l'installation ==> 1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ > (donc, clic sur le lien, [enregistrer], choisir le bureau, [enregistrer] ; on obtient l’icône du fichier « Avenger.zip » sur le bureau) Clic-droit sur Avenger.zip, puis « Ouvrir » > « Dossiers compressés » > OK On obtient une page avec, dans le panneau de droite le fichier “avenger.exe” < http://img111.imageshack.us/img111/7906/screenshot294ji2.png > Le point 2 est inchangé. Fais comme ceci à partir du point 3: 3)- Double-clic sur ce fichier “avenger.exe” ==> répondre OUI, à l’avertissement pour continuer. Suis ensuite cette capture écran http://img175.imageshack.us/img175/5701/screenshot293ab5.png ==> clic sur « Load script » et et choisis le menu « Paste from Clipboard »; le script devrait alors se coller dans la fenêtre ==> Cliquer [Exécuter] J'espère que tu n'as pas été trop entreprenant. Al.

Ety.trial · Answer

Le message est d'erreur:

Error:Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\windows\Current Version\poilicies\Explorer\NTSpool"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)


Je sais pas quoi faire,
j'attends tes instructions

Ety

afideg · Answer

OK
Attends j'apporte la modification

afideg · Answer

Voilà Pour l'installation ==> 1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ > (donc, clic sur le lien, [enregistrer], choisir le bureau, [enregistrer] ; on obtient l’icône du fichier « Avenger.zip » sur le bureau) Clic-droit sur Avenger.zip, puis « Ouvrir » > « Dossiers compressés » > OK On obtient une page avec, dans le panneau de droite le fichier “avenger.exe” < http://img111.imageshack.us/img111/7906/screenshot294ji2.png > 2)- Sélectionner ( mettre en surbrillance ) tout ce qui est en gras ( autrement dit "le texte ci-dessous" ), et appuyer sur les touches (Ctrl+C) Attention, pour copier il faut impérativement faire CTRL+C (autrement dit appuyer simultanément sur les touches CTRL(=Control) et C ==> pas sur le + !!): Files to delete: C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Gamevance\gamevance32.exe C:\WINDOWS\system32\mysidesearch_sidebar.dll C:\WINDOWS\system32 shC6.dll C:\WINDOWS\system32\NTSpool.exe C:\WINDOWS\system32\WinSecure.exe C:\WINDOWS\system32\iebrowserc.dll C:\Program Files\free-downloads.net bfree.dll C:\Program Files\free-downloads.net C:\WINDOWS\system32\adssite-remove.exe C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe C:\WINDOWS\system32\Adssite_sidebar.dll C:\WINDOWS\system32\iebrowserc.dll J:\Clone CD\CloneCD\CloneCDTray.exe Folders to delete: J:\Clone CD C:\Program Files\Gamevance C:\Program Files\Bonjour Registry keys to delete: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C3D1FF3C-F180-4D84-AE67-1CA44E86F68C} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DDFA1356-E6ED-42a5-9D62-93211D424A90} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} Registry values to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall | WinSecureDisc HKEY_LOCAL_MACHINE\SOFTWARE | WinSecureDisc 3)- Double-clic sur ce fichier “avenger.exe” ==> répondre OUI, à l’avertissement pour continuer. Suis ensuite cette capture écran http://img175.imageshack.us/img175/5701/screenshot293ab5.png : clic sur « Load script » et choisis le menu « Paste from Clipboard » ; le script devrait alors se coller dans la fenêtre ==> Cliquer [Exécuter] 4)- The Avenger va automatiquement faire ce qui suit: Il va re-démarrer le système. Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL. Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt Bonne chance Al

afideg · Answer

(suite) Je n'en reviens pas de cette restriction dans le traitement des clés -HKEY_CURRENT_USER. Il faut cependant supprimer les éléments que j'ai ôtés du script The Avenger; comme ceci: Crée un "nouveau document texte". Pour cela : clic droit de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ). Dans Format, veille à bien retirer la coche devant Retour à la ligne automatique. Fais un retour chariot ( Entrée) après la dernière ligne. L'icône est maintenant sur le "bureau" ==> Ouvre-le, et copie/colle dedans ce qui est en caractères gras ci-dessous, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 -) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) (Si tu ne comprends pas, demande) ! REGEDIT4 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Windows Security Tool] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NTSpool] [HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] “NTSpool”=- [HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache] “C:\WINDOWS\system32\NTSpool.exe”=- Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau " Dans "Nom du fichier" : taper par exemple " fix1.reg " Dans "Type de fichier" : choisir "tous les fichiers" Clic sur [enregistrer] L'icône de "fix1.reg" doit ressembler à cela < http://img520.imageshack.us/img520/4251/screenshot005ps2.png > 3°- Tu n'auras plus accès ni à IE, ni à CCM durant la procédure de désinfection qui suit . - Imprime-la; ou note . Redémarre en mode sans échec (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre) :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 4°- Double-clique sur " fix1.reg " (que tu as créé sur ton bureau) pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui " Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. 5°- Redémarre normalement. N'oublie pas de fixer les lignes comme demandé antérieurement Bonne chance Al.

Ety.trial · Answer

Etape 1: Terminée

Celle là:

Citation: "[...]3)- Double-clic sur ce fichier “avenger.exe”  ==> répondre OUI, à l’avertissement pour continuer.
Suis ensuite cette capture écran http://img175.imageshack.us/img175/5701/screenshot293ab5.png : clic sur « Load script »
et choisis le menu « Paste from Clipboard » ; le script devrait alors se coller dans la fenêtre ==> Cliquer [Exécuter]


4)- The Avenger va automatiquement faire ce qui suit:
Il va re-démarrer le système.
Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt


Bonne chance
Al "

Un fichier bloc notes c'est ouvert,
je te copie le contenu, présent ci-dessous:



//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Mar 10 17:50:26 2008

17:50:15: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Windows Security Tool"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  
17:50:26: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Mar 10 17:56:05 2008

17:55:59: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Windows Security Tool"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  
17:56:01: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NTSpool"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  
17:56:04: Error: Invalid registry syntax in command:
"HKEY_USERS\S-1-5-21-3146079973-2243527585-3478498061-1007\Software\Microsoft\Windows\Curre­­ntVersion\Policies\Explorer\Run|NTSpool"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry value deletion mode)  
17:56:05: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Mar 10 19:31:00 2008

19:26:53: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Windows Security Tool"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  
19:30:57: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NTSpool"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  
19:31:00: Error: Execution aborted by user!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Program Files\Bonjour\mDNSResponder.exe" deleted successfully.
File "C:\Program Files\Gamevance\gamevance32.exe" deleted successfully.
File "C:\WINDOWS\system32\mysidesearch_sidebar.dll" deleted successfully.

Error:  file "C:\WINDOWS\system32
shC6.dll" not found!
Deletion of file "C:\WINDOWS\system32
shC6.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\NTSpool.exe" deleted successfully.
File "C:\WINDOWS\system32\WinSecure.exe" deleted successfully.
File "C:\WINDOWS\system32\iebrowserc.dll" deleted successfully.
File "C:\Program Files\free-downloads.net	bfree.dll" deleted successfully.

Error: "C:\Program Files\free-downloads.net" is a folder, not a file!
Deletion of file "C:\Program Files\free-downloads.net" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory

File "C:\WINDOWS\system32\adssite-remove.exe" deleted successfully.
File "C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe" deleted successfully.
File "C:\WINDOWS\system32\Adssite_sidebar.dll" deleted successfully.

Error:  file "C:\WINDOWS\system32\iebrowserc.dll" not found!
Deletion of file "C:\WINDOWS\system32\iebrowserc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "J:\Clone CD\CloneCD\CloneCDTray.exe"
Deletion of file "J:\Clone CD\CloneCD\CloneCDTray.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open folder "J:\Clone CD"
Deletion of folder "J:\Clone CD" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist

Folder "C:\Program Files\Gamevance" deleted successfully.
Folder "C:\Program Files\Bonjour" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C3D1FF3C-F180-4D84-AE67-1CA44E86F68C}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DDFA1356-E6ED-42a5-9D62-93211D424A90}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}" deleted successfully.

Error:  registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not delete registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall|WinSecureDisc"
Deletion of registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall|WinSecureDisc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not delete registry value "HKEY_LOCAL_MACHINE\SOFTWARE|WinSecureDisc"
Deletion of registry value "HKEY_LOCAL_MACHINE\SOFTWARE|WinSecureDisc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.



Je vais attaquer "la suite".



"Suite dans mon prochain message pour faire propre.


Merci,

Ety

afideg · Answer

Re,

Tout ça est parfait ==> c'est mieux (le rendement de mon script) que ce que je prévoyais.
Merci et bravo.
Courage!
Je descends me reposer un peu.
Al.

Ety.trial · Answer

Re!

L'opération est finit.
J'ai fait toutes les manip, j'ai gardé mon calme pour pas faire de bétise.
Normalement ça a marché,
je voulais savoir si je devais refaire un Rapport HJTI.

Et aussi, si je devais garder fix1.reg, avenger, OAD, .

Merci beaucoup de m'avoir consacrer du temps,
je suis super content que le problème soit résolu, encore merci.


Ety

afideg · Answer

Bien

-Post # 9 ==> 6°- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport HijackThis. 
-Post # 19 ==> N'oublie pas de fixer les lignes comme demandé antérieurement 

Réponse1: Oui, je t'en prie, relance une analyse complète avec HijackThis, et poste le rapport ici sur le forum.
Réponse2: Oui, tu peux glisser vers la corbeille OAD, Fix1.reg et Avenger.zip


Suite et fin:

7°- Fais un clic-droit sur ce lien de Combofix de sUBs  http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Puis choisis "Enregistrer sous .." ==> vers le 'bureau" 
==> Attention : renomme-le sous le nom AntiAddsite (très important). 
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard. 
Puis clic sur [Enregistrer]  
(Enregistre-le impérativement sur ton bureau).
Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure).
Ferme toutes les fenêtres.
Double-clique sur AntiAddsite.exe (ne clique pas sur la fenêtre qui s'ouvre).
- Réponds oui (Clic sur Y) au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. 
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes. /!\    

Attention : Il est très probable que l'outil bloque à la fenêtre Find3M ; si c'est le cas, appuie simultanément sur les touches CTRL + ALT + DEL (Sup.), clique sur l'un des deux CF#####.exe (où ##### sont des chiffres aléatoires) et le rapport sera généré !

A la fin du scan (cela peut prendre du temps==> (il y a ± 40 étapes d’analyse) ), un rapport sera créé.
Poste ce rapport dans ton / tes prochain(s) message(s).



8°- Supprime NortonAntivirus/Symantec correctement à l'aide de ce lien 
http://speedweb1.free.fr/frames2.php?page=divers3
Il ne faut qu’un seul antivirus actif sur un PC (or tu en as deux !)



9°- C:\Program Files\Java\jre1.5.0_02
Ta version n’est pas mis à jour.
Rends-toi sur ce lien < https://www.java.com/fr/download/   > afin de télécharger une version à jour.
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions 



10°- Il faut faire la mise à jour version 8.1.2   https://get2.adobe.com/reader/otherversions/      
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
( http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.1/fra/AdbeRdr810_fr_FR.exe  > lien direct)
- Décocher "Téléchargez également :Adobe Photoshop® Album Édition" 
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.



Enfin Poste un nouveau rapport HijackThis


Courage
Merci
Al.

Ety.trial · Answer

Voila, j'ai fait le 7, aucun problème: Rapport: ComboFix 08-03-10.1 - etienne 2008-03-10 22:21:26.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.574 [GMT 1:00] Endroit: D:\Documents and Settings\etienne\Bureau\AntiAddsite.exe * Création d'un nouveau point de restauration . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\HbTools C:\Program Files\HbTools\Bin\4.8.4.0\dBenderC.dll C:\Program Files\HbTools\Bin\HbtUninst.exe C:\Program Files\HbTools\HBTV\hbtv_gdf.dat C:\Program Files\HbTools\HBTV\hbtvau.dat C:\Program Files\inetget2 C:\WINDOWS\pack.epk C:\WINDOWS\system32\htto.dll C:\WINDOWS\system32 sq6F.dll C:\WINDOWS\system32 ightonadz-uninst.exe C:\WINDOWS\wr.txt D:\Documents and Settings\Apolline\Application Data\urlredir.cfg D:\Documents and Settings\etienne\Application Data\HbTools D:\Documents and Settings\etienne\Application Data\HbTools\HbTools.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1172595153.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1172865491.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1173284252.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1173720004.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1174151939.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1174421456.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1174722142.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1175272330.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1175592859.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1176566415.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1177082286.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1177445943.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1177788807.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1178221083.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1178743550.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1179159680.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1179498392.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1180035998.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1180465455.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1180777295.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1181075969.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1181482420.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1181738199.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1181938432.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1182086540.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1182598165.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1182961531.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1183634801.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1183991641.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1184580746.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1184670786.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1184768621.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1185122880.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1185288971.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1185718272.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1185903786.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1186135771.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1186332642.log D:\Documents and Settings\etienne\Application Data\HbTools\HbTools_1186651581.log D:\Documents and Settings\etienne\Application Data\HbTools_Icons D:\Documents and Settings\etienne\Application Data\HbTools_Icons\games2.ico D:\Documents and Settings\etienne\Application Data\HbTools_Icons\wallpapere1.ico D:\Documents and Settings\etienne\Application Data\urlredir.cfg D:\Documents and Settings\etienne ew.txt D:\Documents and Settings\joséphine\Application Data\HbTools D:\Documents and Settings\joséphine\Application Data\HbTools\HbTools.log D:\Documents and Settings\joséphine\Application Data\HbTools\HbTools_1175447975.log D:\Documents and Settings\joséphine\Application Data\HbTools\HbTools_1179417472.log D:\Documents and Settings\joséphine\Application Data\HbTools\HbTools_1182610821.log D:\Documents and Settings\joséphine\Application Data\HbTools_Icons D:\Documents and Settings\joséphine\Application Data\HbTools_Icons\games2.ico D:\Documents and Settings\joséphine\Application Data\HbTools_Icons\wallpapere1.ico D:\Documents and Settings\joséphine\Application Data\urlredir.cfg D:\Documents and Settings hierry\Application Data\HbTools D:\Documents and Settings hierry\Application Data\HbTools\HbTools.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1172410337.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1172585068.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1172781907.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1173085842.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1173396066.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1173725736.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1174050208.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1174396369.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1174574124.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1174899799.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1175267183.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1175765762.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1176027004.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1176300122.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1176576458.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1176833760.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1177162191.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1177443734.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1177841440.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1178054498.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1178354820.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1178639138.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1178912636.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1179253233.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1179510354.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1179736475.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1180040391.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1180561809.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1180729692.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1180966033.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1181229428.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1181380779.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1181577412.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1181742440.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1181917369.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1182088071.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1182290766.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1182610155.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1182972806.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1183141691.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1183474378.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1183806087.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1184003185.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1184359784.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1184743621.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185023471.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185043713.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185114424.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185351368.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185458142.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185526985.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185659068.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185803818.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1185987092.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1186096723.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1186239998.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1186322956.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1186419386.log D:\Documents and Settings hierry\Application Data\HbTools\HbTools_1186649636.log D:\Documents and Settings hierry\Application Data\HbTools_Icons D:\Documents and Settings hierry\Application Data\HbTools_Icons\games2.ico D:\Documents and Settings hierry\Application Data\HbTools_Icons\wallpapere1.ico D:\Documents and Settings hierry\Application Data\urlredir.cfg D:\Documents and Settings hierry\Bureau\Free PC Wallpapers.lnk D:\Documents and Settings hierry ew.txt . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-10 to 2008-03-10 )))))))))))))))))))))))))))))))))))) . 2008-03-10 20:58 . 2008-03-10 20:58 24,717,056 --a------ C:\backup.reg 2008-03-10 20:58 . 2008-03-10 20:58 135,168 --a------ C:\zip.exe 2008-03-10 20:58 . 2008-03-10 20:58 19,286 --a------ C:\cleanup.exe 2008-03-10 20:58 . 2008-03-10 20:58 574 --a------ C:\cleanup.bat 2008-03-10 18:05 . 2008-03-10 18:58 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-03-10 18:04 . 2008-03-10 18:56 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-03-10 18:04 . 2008-03-10 18:04 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-03-09 21:50 . 2008-03-09 21:50 d-------- C:\Program Files\Trend Micro 2008-03-08 21:11 . 2008-03-08 21:11 d-------- C:\Program Files\Common Files 2008-03-08 20:38 . 2008-03-08 20:38 d-------- C:\Program Files\EA GAMES 2008-02-28 18:31 . 2003-03-15 22:15 90,112 --a------ C:\WINDOWS\unvise32.exe 2008-02-28 17:36 . 2002-03-19 09:29 14,165 --------- C:\WINDOWS\system32\drivers\Pclepci.sys 2008-02-25 22:55 . 2008-02-25 22:55 d-------- D:\Documents and Settings\etienne\Application Data\eMule 2008-02-20 17:36 . 2008-03-10 21:02 d-------- C:\Program Files\free-downloads.net 2008-02-20 17:35 . 2008-02-20 17:35 d-------- C:\Program Files\Alcohol Soft 2008-02-20 17:32 . 2008-02-20 17:32 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-02-19 21:58 . 2008-03-10 20:54 d-a------ D:\Documents and Settings\All Users\Application Data\TEMP 2008-02-19 21:58 . 2008-02-23 22:01 37,888 --a------ C:\WINDOWS\system32 ar.exe 2008-02-13 20:41 . 2008-03-06 21:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-02-13 20:41 . 2008-02-13 20:41 1,409 --a------ C:\WINDOWS\QTFont.for 2008-02-12 04:55 . 2008-03-06 17:37 84,729 --a------ C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-10 11:00 --------- d-----w C:\Program Files\Windows Live Safety Center 2008-03-08 20:25 --------- d-----w C:\Program Files\GameSpy Arcade 2008-03-08 19:59 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-06 18:12 --------- d-----w D:\Documents and Settings\etienne\Application Data\Azureus 2008-02-18 11:08 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-02-18 10:57 --------- d-----w C:\Program Files\Free Audio Pack 2008-02-17 12:16 --------- d-----w C:\Program Files\26inch Biketrial Game v.1.01 2008-02-09 18:19 --------- d-----w D:\Documents and Settings\Apolline\Application Data\Ahead 2008-02-06 17:25 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-02-04 18:50 --------- d-----w C:\Program Files\Navilog1 2008-02-04 18:26 --------- d-----w D:\Documents and Settings\All Users\Application Data\Lavasoft 2008-02-04 15:59 --------- d-----w C:\Program Files\Lavasoft 2008-02-04 11:14 46,300 ----a-w C:\WINDOWS\system32\AdssiteSocial-uninstall.exe 2008-01-29 12:27 --------- d-----w C:\Program Files\Windows Journal Viewer 2008-01-27 13:50 228,576 ----a-w D:\Documents and Settings hierry\Application Data\GDIPFONTCACHEV1.DAT 2008-01-26 17:56 --------- d-----w D:\Documents and Settings hierry\Application Data\Ahead 2008-01-25 17:32 --------- d-----w D:\Documents and Settings\All Users\Application Data\InstallShield 2008-01-24 18:51 --------- d-----w C:\Program Files\VirtualDJ3 2008-01-24 17:15 --------- d-----w D:\Documents and Settings\etienne\Application Data\Ahead 2008-01-24 16:28 --------- d-----w C:\Program Files\Fichiers communs\Ahead 2008-01-24 16:25 --------- d-----w D:\Documents and Settings\All Users\Application Data\Nero 2008-01-22 10:13 --------- d-----w C:\Program Files\SlySoft 2008-01-21 20:03 --------- d-----w D:\Documents and Settings\etienne\Application Data\Propellerhead Software 2008-01-21 20:02 --------- d-----w D:\Documents and Settings\All Users\Application Data\Propellerhead Software 2008-01-21 19:51 --------- d-----w D:\Documents and Settings\etienne\Application Data\MAGIX 2008-01-21 19:51 --------- d-----w D:\Documents and Settings\All Users\Application Data\MAGIX 2008-01-21 19:48 --------- d-----w C:\Program Files\Fichiers communs\MAGIX Shared 2008-01-19 09:33 --------- d-----w C:\Program Files\MAGIX 2008-01-19 00:00 --------- d-----w C:\Program Files\Image-Line 2008-01-15 12:21 --------- d-----w C:\Program Files\pics-factory Toolbar 2008-01-15 12:08 --------- d-----w D:\Documents and Settings\All Users\Application Data\Symantec 2008-01-15 12:08 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-01-15 12:05 --------- d-----w C:\Program Files\Symantec 2008-01-13 12:07 --------- d-----w C:\Program Files\RepareOE 2008-01-12 22:25 --------- d-----w D:\Documents and Settings\All Users\Application Data\WinZip 2008-01-12 20:23 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2008-01-11 18:40 --------- d-----w D:\Documents and Settings\All Users\Application Data\Azureus 2008-01-11 16:39 --------- d-----w C:\Program Files\Axon Data 2008-01-10 12:44 --------- d-----w D:\Documents and Settings\etienne\Application Data\LimeWire 2007-12-21 14:39 10,752 ----a-w C:\WINDOWS\system32\WhoisCL.exe 2004-02-11 02:00 80,014 ----a-w C:\WINDOWS\Fonts\unins000.exe 2000-05-12 11:52 122,880 ----a-r C:\WINDOWS\inf\AGFA\Message.exe 2007-07-04 15:21 61 --sha-w C:\WINDOWS\cnerolf.dat 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll 1999-09-10 13:09 385,024 --sha-w C:\WINDOWS\system32\Vbar332.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "C:\Program Files\free-downloads.net bfree.dll" [ ] [HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{ECDEE021-0D17-467F-A1FF-C7A115230949}"= C:\Program Files\free-downloads.net bfree.dll [ ] [HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SweetIM"="C:\Program Files\Macrogaming\SweetIM\SweetIM.exe" [2006-12-27 16:53 73840] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360] "Steam"="j:\counter\steam.exe" [ ] "msnmsgr"="~C:\Program Files\MSN Messenger\msnmsgr.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2005-10-27 12:37 180269] "Gamevance"="C:\Program Files\Gamevance\gamevance32.exe" [ ] "SweetIM"="C:\Program Files\Macrogaming\SweetIM\SweetIM.exe" [2006-12-27 16:53 73840] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "CloneCDTray"="J:\Clone CD\CloneCD\CloneCDTray.exe" [ ] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360] D:\Documents and Settings hierry\Menu D‚marrer\Programmes\D‚marrage\ OFFICE One 6.5.lnk - C:\Program Files\OFFICE One6.5\program\quickstart.exe [2004-03-08 05:00:00 36864] WordWeb.lnk - C:\Program Files\WordWeb\wweb32.exe [2007-09-06 17:56:25 44384] D:\Documents and Settings\etienne\Menu D‚marrer\Programmes\D‚marrage\ OFFICE One 6.5.lnk - C:\Program Files\OFFICE One6.5\program\quickstart.exe [2004-03-08 05:00:00 36864] D:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Hyperappel de 'Tout sur les verbes Fran‡ais'.lnk - C:\Program Files\Larousse\Tout sur les verbes Fran‡ais\bin\Hyperappel.exe [2007-11-24 15:25:13 233472] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04 83360] OFFICE One Notes v6.5.lnk - C:\Program Files\OFFICE One6.5\OFFICE One Notes\oonotesv65.exe [2006-02-23 15:28:32 559104] WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2008-01-12 23:25:22 389120] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer un] "NTSpool"= NTSpool.exe "Windows Security Tool"= WinSecure.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=MsgPlusLoader.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\AOL 9.0\aol.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"= "%windir%\system32\sessmgr.exe"= "C:\APPS\Inventime\my.exe"= "C:\APPS\skype\phone\Skype.exe"= "D:\Documents and Settings\etienne\Mes documents\Ma musiqe\LimeWire\LimeWire.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 09:13] R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 11:46] R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-27 11:51] R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 13:00] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18] S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINDOWS\system32\Drivers\StMp3Rec.sys [2003-11-20 14:26] S3 UPnPService;UPnPService;C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 17:00] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-03-07 16:22:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-02-29 16:15:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job" - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-10 22:26:00 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Gamevance = C:\Program Files\Gamevance\gamevance32.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MysqlInventime] "ImagePath"="C:\Apps\INVENT~1\mysql\bin\mysqld-nt --defaults-file=C:\Apps\Inventime\mysql\my.ini MysqlInventime" . Temps d'accomplissement: 2008-03-10 22:26:28 ComboFix-quarantined-files.txt 2008-03-10 21:26:26 . 2008-03-10 15:09:44 --- E O F --- __________________________________________ Voila le dernier rapport HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:30:51, on 10/03/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Larousse\Tout sur les verbes Français\bin\Hyperappel.exe C:\Program Files\OFFICE One6.5\OFFICE One Notes\oonotesv65.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\OFFICE One6.5\program\soffice.exe C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\WINDOWS\system32 otepad.exe C:\Program Files\Alwil Software\Avast4\ashDisp.exe C:\WINDOWS\system32 otepad.exe C:\WINDOWS\explorer.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll (file missing) O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll (file missing) O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot O4 - HKLM\..\Run: [Gamevance] C:\Program Files\Gamevance\gamevance32.exe O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDTray] "J:\Clone CD\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "j:\counter\steam.exe" -silent O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OFFICE One 6.5.lnk = C:\Program Files\OFFICE One6.5\program\quickstart.exe O4 - Global Startup: Hyperappel de 'Tout sur les verbes Français'.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: OFFICE One Notes v6.5.lnk = C:\Program Files\OFFICE One6.5\OFFICE One Notes\oonotesv65.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin pjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin pjpi150_02.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing) O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe

Ety.trial · Answer

Y'a un soucis par rapport a Norton.
Je les désinstallé depuis un moment, mais il dise que sa laisse des traces et qu'il faut les virer a la main.
J'ai peur de faire des bétises alors je te demande:

Citation: "6) Supprimer les reliquats sur le disque dur
Norton et Symantec laissent plein de traces sur votre disque dur, il faut terminer le ménage à la main:
Ouvrez votre explorateur, allez dans l'arborescence du disque dur C:\ ---> et cherchez :
C:\Program Files\Symantec\
C:\program Files\Norton\
C:\Program Files\Fichiers communs\Symantec\
C:\Documents And Settings\Votre compte\Application Data\Symantec\
C:\Documents And Settings\All Users\Application Data\Symantec\
C:\Documents And Settings\Administrateur\Application Data\Symantec\
et clic droit sur chaque dossier =>Supprimer

En principe, à ce stade, la suite Norton est correctement désinstallée."

Donc, je vais dans C:\, et j'ouvre program fils, symantec, et si j'ai bien compris, tous les dossiers se trouvant dans symantec je dois les virer?


Ety

afideg · Answer

Re OUI, ce sont les dossiers Symantec qu'il faut aller supprimer. Rappelle-toi: Assure toi d'avoir accès aux dossiers/fichiers cachés : Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage" Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » et là : cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer les extensions des fichiers dont le type est connu - masquer les fichiers protégés du système d'exploitation Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Puis cliquer APPLIQUER à TOUS les Dossiers > [OK] Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > Ce n'est pas le plus important. Quand tu auras tout fini, je te proposerai une façon de peaufiner cette suppression des traces de ce maudit antivirus pré-installé sur beaucoup de PC. Mais ce sera pour demain soir. Encore merci et bravo. ==> QUOIQUE! Je ne vois pas que tu aies fixé toutes ces lignes dans HijackThis . O2 - BHO: (no name) - {C3D1FF3C-F180-4D84-AE67-1CA44E86F68C} - (no file) O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32 shC6.dll O2 - BHO: MySidesearch Search Assistant - {DDFA1356-E6ED-42a5-9D62-93211D424A90} – O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file) O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [CloneCDTray] "J:\Clone CD\CloneCD\CloneCDTray.exe" / O4 - HKCU\..\Run: [Steam] "j:\counter\steam.exe" -silent O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe O4 - HKCU\..\Run: [EPSON Stylus Photo R360 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE /FU "D:\DOCUME~1\etienne\LOCALS~1\Temp\E_S17D.tmp" /EF "HKCU" O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe O4 - HKLM\..\Run: [Gamevance] C:\Program Files\Gamevance\gamevance32.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - Microsoft - WGA O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - => MSN Games O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - Al

Ety.trial · Answer

Bonjour,
depuis que j'ai désactivé mon anti-virus Avast, il s'est désactivé complètement.
J'ai dut le réactiver ce matin, et je voulais savoir comment faire pour qu'il reste.

Aussi, la boule bleu d'avast ne se mets pas a coté de l'heure, je suis obligé de le faire avec ashdisp.

Je suis bien embété,

merci


Ety

afideg · Answer

Bonsoir A)- Je constate que Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!). Alors, fais-moi plaisir; applique ceci: 1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows > et qui prend en compte la case Rootkit. TUTORIELS : < https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement. - ou < http://www.malekal.com/tutorial_antivir.html > - ou < http://www.libellules.ch/tuto_antivir.php > 2)- Désinstaller AVAST: < https://www.avast.com/fr-fr/uninstall-utility > 3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation. - Attention : Sers-toi du tutoriel pour installer ANTIVIR, http://www.vista-xp.fr/forum/topic227.html 4)- Procédure d'utilisation: Après l'installation du programme et avant de lancer l'analyse, ... ...il faut redémarrer le PC en mode sans échec, comme ceci: < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > Lancer Antivir en Scan complet ( analyse avancée ) Poster le rapport SVP. L'analyse: - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir » - Cliquer sur l’onglet « scanner » - Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) - Une fenêtre va s’ouvrir « Luke Filewalker » - Le scan va démarrer. - Mettre tout ce qu il trouve en "quarantine" Le rapport: Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître. Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau). B)- Tu as toujours l'icône de ComboFix sur le bureau. 1°- PREALABLE : Etant donné que ANTIVIR détecte un risque sécuritaire dans l'outil suivant : nircmd.cfexe qui appartient en fait à ComboFix, il faut que tu désactives le bouclier d'Antivir le temps du scan : ==> Fais un clic-droit sur l'icône d'Antivir dans la barre des tâches et décoche "Antivir Guard enable" ==> Réactive-le en fin de cette procédure ComboFix. 2°- Désactive ta restauration système : Clic sur « Démarrer » Clic droit sur « Poste de travail », puis sur « Propriétés », Vas sur l’onglet « Restauration système » Tu y coches la case « Désactiver la restauration » Termine par [Appliquer] [OK] 3°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant : File:: C:\zip.exe C:\cleanup.exe C:\cleanup.bat C:\Program Files\free-downloads.net bfree.dll C:\Program Files\free-downloads.net C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe C:\WINDOWS\Tasks\Maintenance en 1 clic.job C:\Program Files\Gamevance\gamevance32.exe C:\Program Files\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE C:\WINDOWS\system32\drivers\secdrv.sys j:\counter\steam.exe J:\Clone CD\CloneCD\CloneCDTray.exe Folder:: J:\Clone CD j:\counter <<=== Steam\steam.exe D:\Documents and Settings\etienne\Application Data\LimeWire D:\Documents and Settings\All Users\Application Data\Symantec D:\Documents and Settings\Apolline\Application Data\Ahead D:\Documents and Settings hierry\Application Data\Ahead D:\Documents and Settings\etienne\Application Data\Ahead D:\Documents and Settings\All Users\Application Data\TEMP D:\Documents and Settings\All Users\Application Data\Lavasoft C:\Program Files\Fichiers communs\Symantec Shared C:\Program Files\Symantec C:\Program Files\SlySoft C:\Program Files\pics-factory Toolbar C:\Program Files\Lavasoft C:\Program Files\Fichiers communs\Ahead C:\Program Files\Navilog1 C:\Program Files\free-downloads.net Driver:: secdrv ==>C:\WINDOWS\system32\drivers\secdrv.sys Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{ECDEE021-0D17-467F-A1FF-C7A115230949}"=- [-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{ECDEE021-0D17-467F-A1FF-C7A115230949}"=- [-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SweetIM"=- "Steam"=- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] Gamevance =- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gamevance"=- "SweetIM"=- "CloneCDTray"=- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer un] "NTSpool"=- "Windows Security Tool"=- [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\APPS\Inventime\my.exe"=- "D:\Documents and Settings\etienne\Mes documents\Ma musiqe\LimeWire\LimeWire.exe"=- "C:\Program Files\uTorrent\uTorrent.exe"=- 4°- Copie le texte sélectionné (CTRL+C). Ouvre le bloc-notes (programme>Accessoires >bloc-notes). Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V). Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt En english ==> Save this as ComboFix-Do.txt and change the "Save as type" to "All Files" and place it on your desktop (= bureau). Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png > 5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif > Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 ou Yes puis valide. Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! (CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.) 6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum. Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt 7°- Arrêter puis redémarrer le PC 8°- Poste un nouveau rapport ComboFix.txt comme ceci : - Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites. Tape 1 ou Yes puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan. Lorsque le scan sera complété, un rapport apparaîtra sur le bureau. Tu copies et colles ce rapport sur le forum. C)- - Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes (si elles existent encore): - R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = &cc=fr&toHttps=1&redig=F24CFEBCCA6B4073B5E378D522D508C3 - R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll (file missing) - O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll - O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll (file missing) - O4 - HKLM\..\Run: [Gamevance] C:\Program Files\Gamevance\gamevance32.exe - O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe - O4 - HKLM\..\Run: [CloneCDTray] "J:\Clone CD\CloneCD\CloneCDTray.exe" /s => SlySoft CloneCD - O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe - O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe - O4 - HKCU\..\Run: [Steam] "j:\counter\steam.exe" -silent - O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe - O4 - HKCU\..\Run: [EPSON Stylus Photo R360 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE /FU "D:\DOCUME~1\etienne\LOCALS~1\Temp\E_S17D.tmp" /EF "HKCU" - O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe - O4 - HKLM\..\Run: [Gamevance] C:\Program Files\Gamevance\gamevance32.exe - O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - - O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - - O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx => Microsoft MSN Messenger - O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - - O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - - O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - - O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - - O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - - O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE - O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe •-Arrête tous les programmes en cours et ferme toutes les fenêtres. ( seul HijackThis doit être ouvert ) , •- et ensuite Clic [Fix checked] Poste un nouveau rapport HJT,svp. D)- Ensuite réactive ta restauration système Clic droit sur « Poste de travail », puis sur « Propriétés », Vas sur l’onglet « Restauration système » Tu décoches la case « Désactiver la restauration » Termine par [Appliquer] [OK] Merci Al.

Ety.trial · Answer

Rebonsoir!

C'est que c'est vraiment compliqué a faire!
Encore plein de choses a réaliser, je me sens pas trop.
Puis, virer avast, réinstaller un autre antivirus..Je suis plop plop.

Après plein de manipulations a faire, c'est super chaud.

Je sais pas comment je vais me débrouiller,
mais je crois avoir une solution:

Je vire toutes mes données et celles des autres utilisataires sur Disque Dur Externe, et j'écrase windows.

Ety

afideg · Answer

Laisse tomber Avast Tu le remplaceras après Fais le reste SVP Merde ! Avec tout ça, j'ai laissé 2 fautes : 1°- j:\counter <<=== Steam\steam.exe <-- supprimer ce qui est en gras. 2°- secdrv ==>C:\WINDOWS\system32\drivers\secdrv.sys <-- supprimer ce qui est en gras. Je ne sais pas faire plus court. C'est ce qui arrive quand on joue avec n'importe quoi, dont des cracks. Et j'ai dû recommencer des explications Dont la suppression des lignes HJT (je suis resté sans nouvelle). Ton infection "Ads served by addsite/!\" est une grosse saloperie. J'étais arrivé au terme de la désinfection. Sauvegarder ses données: 1)- Avant de tout effacer pour réinstaller Windows, copiez vos documents, vos pilotes et vos paramètres dans Mes documents. Il ne restera ensuite qu'à sauvegarder ce dossier pour ne perdre aucun fichier. < https://www.01net.com/actualites/ > 2)- Il est inutile de sauvegarder tout votre disque dur. En effet, pourquoi sauvegarder par exemple des logiciels que vous pourrez réinstaller à partir de CD-Rom ou via un téléchargement sur le site web de l'éditeur. Il est donc nécessaire de sauvegarder tous les fichiers et dossiers que vous ne pourrez pas retrouver : vos e-mails, vos comptes bancaires, vos Favoris, votre carnet d'adresses, vos photos de vacances, vos fichiers Word, Excel, etc. < https://www.pcastuces.com/pratique/securite/sauvegarder_ses_donnees/page1.htm > Souvent jugée rébarbative, la sauvegarde de données peut être facilitée grâce à des utilitaires. Bien que Windows soit équipé d'un utilitaire pour effectuer des sauvegardes, nous vous conseillons d'utiliser SyncBack, disponible gratuitement et en français, et qui propose de nombreuses options intéressantes. 3)- < https://www.generation-nt.com/sauvegarder-vos-donnees-personnelles-avec-ntbackup-astuce-24626-1.html > à tester absolument. 4)- Sauvegarde et restauration de données < https://docs.microsoft.com/en-us/?mfr=true > 5)- < http://www.uclouvain.be/17629.html > 6)- Et pour le cas où Il te reste le live cd linux : < https://www.malekal.com/recuperer-ses-donnees-a-partir-dun-cd-live-gnulinux/ > < http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/avast-spybot-disparaisent-sujet_33127_1.htm > Bonne chance Al.

Ety.trial · Answer

Re!

Vraiment désolé, mais cela m'énerve vraiment beaucoup.
Pourquoi supprimer ça:

1°- j:\counter <<=== Steam\steam.exe  <-- supprimer ce qui est en gras. 

Cela fait partit d'un de mes jeux.


Et celui là est supprimé!

2°- secdrv ==>C:\WINDOWS\system32\drivers\secdrv.sys



"Ton infection "Ads served by addsite/!\" est une grosse saloperie. "

C'est bien vrai et bien  chiant!


Je vais commencer la sauvegarde avec SyncBack!

Merci,

je suis vraiment paumé.

Ety

afideg · Answer

Re, Je comprends que tu ne me comprends pas toujours. J'en conclus que des manips aient pu être incorrectement réalisées ==> je pense notamment au dernier Fix.reg. En effet, le Combofix qui a suivi mele laisse croire. Explication pour ce que tu demandes : Dans le dernier CFScript que je t'ai livré, il y avait ceci (dedans donc!): Folder:: J:\Clone CD j:\counter <<=== Steam\steam.exe (ce qui est en gras est inutile ! = il faut l'effacer) D:\Documents and Settings\etienne\Application Data\LimeWire Driver:: secdrv ==>C:\WINDOWS\system32\drivers\secdrv.sys (ce qui est en gras est inutile ! = il faut l'effacer) Autrement dit, le CFSript correct est le suivant : File:: C:\zip.exe C:\cleanup.exe C:\cleanup.bat C:\Program Files\free-downloads.net bfree.dll C:\Program Files\free-downloads.net C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe C:\WINDOWS\Tasks\Maintenance en 1 clic.job C:\Program Files\Gamevance\gamevance32.exe C:\Program Files\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE C:\WINDOWS\system32\drivers\secdrv.sys j:\counter\steam.exe J:\Clone CD\CloneCD\CloneCDTray.exe Folder:: J:\Clone CD j:\counter D:\Documents and Settings\etienne\Application Data\LimeWire D:\Documents and Settings\All Users\Application Data\Symantec D:\Documents and Settings\Apolline\Application Data\Ahead D:\Documents and Settings hierry\Application Data\Ahead D:\Documents and Settings\etienne\Application Data\Ahead D:\Documents and Settings\All Users\Application Data\TEMP D:\Documents and Settings\All Users\Application Data\Lavasoft C:\Program Files\Fichiers communs\Symantec Shared C:\Program Files\Symantec C:\Program Files\SlySoft C:\Program Files\pics-factory Toolbar C:\Program Files\Lavasoft C:\Program Files\Fichiers communs\Ahead C:\Program Files\Navilog1 C:\Program Files\free-downloads.net Driver:: secdrv Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{ECDEE021-0D17-467F-A1FF-C7A115230949}"=- [-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{ECDEE021-0D17-467F-A1FF-C7A115230949}"=- [-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SweetIM"=- "Steam"=- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] Gamevance =- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gamevance"=- "SweetIM"=- "CloneCDTray"=- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer un] "NTSpool"=- "Windows Security Tool"=- [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\APPS\Inventime\my.exe"=- "D:\Documents and Settings\etienne\Mes documents\Ma musiqe\LimeWire\LimeWire.exe"=- "C:\Program Files\uTorrent\uTorrent.exe"=-

Ety.trial · Answer

Bonjour,
sachant que je n'ai pas trop envie de faire de bêtise, j'ai déjà sauvegarder des données de 2 sessions,
cette après-midi la troisième, et la quatrième ce soir.

Je vais aller faire maintenant la désinstallation de logiciels dont j'ai le CD, et donc pas besoin de sauvegarder.
Je vais aussi marquer sur un bloc note les logiciels libres trouvables sur 01.net et gratuit.

Je vais aussi sauvegarder mes favoris, ma boite Outlook grâce au lien que tu m'as envoyé.

J'utiliserai bien sur SyncBack qui est vraiment bien pour la copie de données.

Une fois tout ça terminé, j'écrase Windows, et je remets ce qui me sera utile.

Je serai les trucs que je ne devraient pas faire, mais je ne sais quel anti-virus réinstaller.

Avast? Comme tu la dis, n'est pas aussi bien car la preuve, il a laissé s'introduire des sortes de spyware, Adware je ne sais trop quoi.

Ety

afideg · Answer

Re

Il me serait agréable de connaître l'efficacité de mon CFSript # 32 à utiliser avec ComboFix comme spécifié post # 28 B) , suivi de la correction des lignes HJT comme spécifié # 28 C) .
C'est tout de même triste de ne pas savoir si la méthode utilisée est correcte et efficace.

Or, on a vu au # 24 que ComboFix avait fait un gros boulot.

Or, j'ai la satisfaction de lire au # 20, que mon Script The Avenger est parvenu à dénicher et supprimer le principal de l'infection rapportée (ADSSITE), et qui n'apparaissait pas; à savoir :
File "C:\WINDOWS\system32\adssite-remove.exe" deleted successfully. 
File "C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe" deleted successfully. 
File "C:\WINDOWS\system32\Adssite_sidebar.dll" deleted successfully.

Mais, je ne sais pas si le Fix.reg (lire # 19) pour supprimer les éléments en HKEY_CURRENT_USER (clé non prise en compte par l'outil The Avenger) avait été correctement réalisé (--> ce fut un premier contretemps).

Ça ne me paraît vraiment pas plus compliqué que toutes ces opérations que tu es en train d'effectuer (conserve les sauvegardes; ça peut toujours servir); c'est toutefois un bon exercice.   ;)


Dommage de perdre ainsi son temps.
Enfin, j'aurai d'autres meilleures occasions; je l'espère.
Al

Ety.trial · Answer

Bonsoir,
j'ai quelques questions,

quand on écrase windows on revient a la version de départ?

Ou faut racheter une version?

J'ai transféré la moitié des données.

Pourrais-t-on svp revenir au tout départ.

Voila le rapport d'HJT.

On recommence doucement!


Rapport HJT n°1:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:24, on 12/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE
C:\Program Files\Larousse\Tout sur les verbes Français\bin\Hyperappel.exe
C:\Program Files\OFFICE One6.5\OFFICE One Notes\oonotesv65.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\OFFICE One6.5\program\soffice.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32
sbA.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "J:\Clone CD\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "j:\counter\steam.exe" -silent
O4 - HKCU\..\Run: [EPSON Stylus Photo R360 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE /FU "D:\DOCUME~1\etienne\LOCALS~1\Temp\E_SB4.tmp" /EF "HKCU"
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OFFICE One 6.5.lnk = C:\Program Files\OFFICE One6.5\program\quickstart.exe
O4 - Global Startup: Hyperappel de 'Tout sur les verbes Français'.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OFFICE One Notes v6.5.lnk = C:\Program Files\OFFICE One6.5\OFFICE One Notes\oonotesv65.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe

afideg · Answer

OK

À demain après que tu aies terminé d'abord ceci :

« Il me serait agréable de connaître l'efficacité de mon CFSript # 32 à utiliser avec ComboFix comme spécifié post # 28 B) , suivi de la correction des lignes HJT comme spécifié # 28 C) . 
C'est tout de même triste de ne pas savoir si la méthode utilisée est correcte et efficace. »

Et pas besoin de recommencer à zéro pour cela.
Et plus tu attends, et plus l'infection s'amuse !

Bonne soirée
Al.

Ety.trial · Answer

Finalement, je suis là,
pourrais-tu me donner les indications pour utiliser ton Script?

Par contre, je n'ai pas compris par rapport aux lignes HJT.


Ety

afideg · Answer

Le CFSript corrigé du # 32 à utiliser avec ComboFix comme spécifié post # 28 B)  
==> ce qui signifie qu'il ne faut pas utiliser le CFSript du post # 32 qui contient 2 petites erreurs,
Mais qu'il faut utiliser la méthode indiquée au post # 28 B)   ==> Do you understand ?
... suivi de la correction des lignes HJT comme spécifié # 28 C)

Al.

Ety.trial · Answer

En gros, s'il te plait, pourrais tu remettre les consignes, corrigé, je suis toujours un peu perdu.


Ety

afideg · Answer

OK Procédure définitive: B)- Tu as toujours l'icône de ComboFix sur le bureau. 1°- PREALABLE : Etant donné que ANTIVIR détecte un risque sécuritaire dans l'outil suivant : nircmd.cfexe qui appartient en fait à ComboFix, il faut que tu désactives le bouclier d'Antivir le temps du scan comme ceci: ==> Fais un clic-droit sur l'icône d'Antivir dans la barre des tâches et décoche la case devant "Antivir Guard enable" ==> Réactive-le en fin de cette procédure ComboFix. 2°- Désactive ta restauration système : Clic sur « Démarrer » Clic droit sur « Poste de travail », puis sur « Propriétés », Vas sur l’onglet « Restauration système » Tu y coches la case « Désactiver la restauration » Termine par [Appliquer] [OK] 3°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant : File:: C:\zip.exe C:\cleanup.exe C:\cleanup.bat C:\Program Files\free-downloads.net bfree.dll C:\Program Files\free-downloads.net C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe C:\WINDOWS\Tasks\Maintenance en 1 clic.job C:\Program Files\Gamevance\gamevance32.exe C:\Program Files\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE C:\WINDOWS\system32\drivers\secdrv.sys j:\counter\steam.exe J:\Clone CD\CloneCD\CloneCDTray.exe Folder:: J:\Clone CD j:\counter D:\Documents and Settings\etienne\Application Data\LimeWire D:\Documents and Settings\All Users\Application Data\Symantec D:\Documents and Settings\Apolline\Application Data\Ahead D:\Documents and Settings hierry\Application Data\Ahead D:\Documents and Settings\etienne\Application Data\Ahead D:\Documents and Settings\All Users\Application Data\TEMP D:\Documents and Settings\All Users\Application Data\Lavasoft C:\Program Files\Fichiers communs\Symantec Shared C:\Program Files\Symantec C:\Program Files\SlySoft C:\Program Files\pics-factory Toolbar C:\Program Files\Lavasoft C:\Program Files\Fichiers communs\Ahead C:\Program Files\Navilog1 C:\Program Files\free-downloads.net Driver:: secdrv Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{ECDEE021-0D17-467F-A1FF-C7A115230949}"=- [-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{ECDEE021-0D17-467F-A1FF-C7A115230949}"=- [-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SweetIM"=- "Steam"=- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] Gamevance =- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gamevance"=- "SweetIM"=- "CloneCDTray"=- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer un] "NTSpool"=- "Windows Security Tool"=- [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\APPS\Inventime\my.exe"=- "D:\Documents and Settings\etienne\Mes documents\Ma musiqe\LimeWire\LimeWire.exe"=- "C:\Program Files\uTorrent\uTorrent.exe"=- 4°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C. Ouvre le bloc-notes (programme>Accessoires >bloc-notes). Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V . Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt • Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png > 5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif > Une fenêtre bleue va apparaître: au message qui apparaît , tape 1 (ou Yes) puis valide. Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! (CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.) 6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum. Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt 7°- Arrêter puis redémarrer le PC 8°- Poste un nouveau rapport ComboFix.txt comme ceci : - Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites. Tape 1 ou Yes puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan. Lorsque le scan sera complété, un rapport apparaîtra sur le bureau. Tu copies et colles ce rapport sur le forum. C)- Relance HJT (= HijackThis!) « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse-lui le temps de tout scanner ) ==> coche alors la case devant chacune de ces lignes (si elles existent encore): - R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = &cc=fr&toHttps=1&redig=F24CFEBCCA6B4073B5E378D522D508C3 - R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll (file missing) - O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll - O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net bfree.dll (file missing) - O4 - HKLM\..\Run: [Gamevance] C:\Program Files\Gamevance\gamevance32.exe - O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe - O4 - HKLM\..\Run: [CloneCDTray] "J:\Clone CD\CloneCD\CloneCDTray.exe" /s => SlySoft CloneCD - O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe - O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe - O4 - HKCU\..\Run: [Steam] "j:\counter\steam.exe" -silent - O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe - O4 - HKCU\..\Run: [EPSON Stylus Photo R360 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBOE.EXE /FU "D:\DOCUME~1\etienne\LOCALS~1\Temp\E_S17D.tmp" /EF "HKCU" - O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe - O4 - HKLM\..\Run: [Gamevance] C:\Program Files\Gamevance\gamevance32.exe - O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - - O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - - O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx => Microsoft MSN Messenger - O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - - O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - - O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - - O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - - O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - - O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE - O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe •-Arrête tous les programmes en cours et ferme toutes les fenêtres. ( seul HijackThis doit être ouvert ) , •- et ensuite Clic [Fix checked] Poste un nouveau rapport HJT,svp. D)- Ensuite réactive ta restauration système Clic droit sur « Poste de travail », puis sur « Propriétés », Vas sur l’onglet « Restauration système » Tu décoches la case « Désactiver la restauration » Termine par [Appliquer] [OK] N'oublie pas ==> ==> Fais un clic-droit sur l'icône d'Antivir dans la barre des tâches et re-coche la case devant "Antivir Guard enable" Je ne pourrai plus faire davantage pour toi. Désolé. Merci Al.

Ety.trial · Answer

Bonsoir,

pour le problème, ce qui est bien c'est que je n'ai plus de pub. Sauf vraiment rarement ou c'est une pub de poker, rien de grave.

Mais, j'ai un tit soucis.

Dès que je vais sur DDE, quand je vais voir mes films dans un dossier, un message apparait:


Titre de la fenêtre:  Prévention de l'éxécution des données - Microsoft Windows

Intérieure de la fenétre: 

Pour protéger votre ordinateur, Windows a fermé ce programme.

Dessin du type core.info puis   Nom :         Explorateur Windows
                                          Editeur:       Microsoft Corporation 


En dessous:                                                                           fermer le message




Je ne vois pas pourquoi ce message affiche, j'ai fait un scan du dossier, et aucun virus, rien,
si vous pouviez m'aider,

merci,


Ety

afideg · Answer

Bonsoir
En vitesse je réponds

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum. 
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt   .........................??

8°- Poste un nouveau rapport ComboFix.txt comme ceci / ............................??

Poste un nouveau rapport HJT,svp. ...........................................................??

D)-Ensuite réactive ta restauration système  ...............................................??

N'oublie pas ==> ==> Fais un clic-droit sur l'icône d'Antivir dans la barre des tâches et re-coche la case devant "Antivir Guard enable"  .......................................................................................??


Direction Départementale de l'Equipement de l'Isère (DDE) ..........................??


Rappelle-moi quel est ton pare-feu ?
Réactive le "Antivir Guard"
Accepter le site DDE par ton pare-feu.


Désolé
Al.

Ety.trial · Answer

Re!

Mon pare-feu est avast,

le problème, c'est que je n'ai pas compris ce qu'il fallait faire pour enlever le message de préventions des données.


Ety

afideg · Answer

Re, 1°- Je voudrais que tu t'en tiennes à ce que je demande SVP. J'ai besoin de savoir si la désinfection est supprimée. Et il est de bon ton de ne pas utiliser un PC quand on ne sait pas si la désinfection est complètement réalisée. 2°- Je t'avais fait supprimer AVAST pour le remplacer par ANTIVIR post # 28 Je t'avais fait supprimer NortonAntivirus/Symantec post # 23 3°- Donc, d'abord AVAST ne devrait plus exister sur ton PC (ni dedans d'ailleurs!); ensuite, et si tu l'ignorais, AVAST est un Anti-Virus ! Ce n'est pas un Firewall ! 4°- Puisque tu n'as pas de pare-feu ( = Firewall ); à part ledit pare-feu de Windows qui ne contrôle pas les données sortantes du PC , il y aurait lieu d'appliquer au plus tôt ceci : Télécharge ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe > ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html > •- Ensuite lancer l'installation de ce pare-feu, comme ceci : - Impérativement couper la connexion de ton modem (débranche-le), - Ça peut être un routeur et tu es relié par un câble, tu débranches le cable. - Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle). - -- Ensuite installer ce pare-feu une fois téléchargé , -- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé -- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) < https://www.vulgarisation-informatique.com/pare-feu-xp.php > - --- Enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. •- Mais n'hésite pas à profiter des dernières versions si possible (Eventuellement mettre à jour Kério). •- Visite ceci: < http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > ; c'est ton intérêt . Sur ce site, tu seras aidée spécifiquement à Kerio par mon Ami Boulepate. Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio - http://www.chez.com/leppa/scripts/kpfV4.html - https://www.vulgarisation-informatique.com/kerio.php Et pour bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php > Il vaut mieux procéder comme cela: Tout est interdit, sauf ce qui est explicitement autorisé. J'attendrai réponse à mes points d'interrogation du post précédent. Merci. Voilà, j'ai donner de mon meilleur. Bonne soirée Al.

Ety.trial · Answer

Re!

J'ai téléchargé le pare-feu conseillé, mais je vais me coucher, je l'installerai demain.



bonne nuit.


Ety

Ety.trial · Answer

Bonjour,

en tout cas merci pour ton aide, mais j'ai trouvé la solution:

*SpyBot

Lien pour télécharger en toute sécurité: 

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

On l'installe normalement,
puis, on lance la fonction principale de ce logiciel.

Ensuite, après (çelon la taille de votre DD, donc le temps d'attente varie) et une liste apparaît.

Corriger, et les Spywares s'en vont. Si vous n'êtes pas sûr, demandez sur le forum CCM ou 01.net.

Vous pouvez faire plein de chose avec ce logiciel. Comme vacciner vos fichiers.**


**Plus d'info:  https://www.futura-sciences.com/tech/dossiers/informatique-proteger-son-ordinateur-conseils-astuces-627/page/7/


En tout cas, merci afideg!

Ety

afideg · Answer

Bonjour jean7

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace 

Procède comme ceci : 
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm 
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm 


Inscription CCM < http://www.commentcamarche.net/communaute/inscription.php3 > 

Al.

Ads served by addsite/!\

47 réponses

Discussions similaires

Newsletters