Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

mtnbzwroj.exe[RESOLU ...!!]


ptitgillou
 Partager

Messages recommandés

Bonjour,

depuis quelques temps, sans nouvelle installe particulière, "ad-watch" me détecte au démarrage une tentative de modification de registre appelé : "mtnbzwroj.exe"

mtnbzwrojrz5.th.jpg

Connaissez-vous ce truc bizarre?

J'ai fait une recherche dans le "C" et dans la Bdr, RIEN trouvé.

Avec Google, c'est inconnu.

Une idée?

Bonne soirée et merci d'avance

Modifié par ptitgillou
Lien vers le commentaire
Partager sur d’autres sites

Bonjour ptitgillou,

 

 

 

Ca, c'est du bon vieux egdaccess :P. Ton système est donc infecté.

 

C'est normal que tu ne trouve rien, le processus qui correspond à ce fichier est caché, et se charge de dissimuler les valeurs du registre/fichiers qui lui correspondent.

 

Et c'est possible que tu ne trouves rien avec Google, le nom du fichier étant aléatoire.

 

Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

 

 

Phase 1

  • Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
     
     
  • Télécharge Antivir
     
     
  • Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
    consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
     
     
  • Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
     
     
  • Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !
    Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
    - failles de ton antivirus qui a laissé passer des malwares
    - Antivir peut-être installé et désinstallé facilement
    - Antivir est reconnu pour son efficacité en mode sans échec
    - le tutorial de tesgaz permet de le paramétrer sans problème.
     
  • Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)

Phase 2

  • Redémarre le PC, impérativement en mode sans échec.
     
     
  • Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
    NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
    Comment démarrer l'ordinateur en mode sans échec
     
     
  • A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.
     
     
  • Affiche tous les fichiers et dossiers cachés par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
    -Active la case : "Afficher les fichiers et dossiers cachés"
    -Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
    -Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
    -Puis clique sur "Appliquer".
    Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Phase 3

  • Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
     
     
  • Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
     
     
  • Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
    -C:\TEMP
    -C:\WINDOWS\TEMP
    -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
    -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
    -Vider la corbeille
     
     
  • Recherche et élimination des parasites avec Antivir=>
    lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
    Sauvegarde le rapport!
     
     
  • Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
    Puis, désinstalle Antivir dans ajout/suppression de programmes.
     
     
  • Redémarre le PC en mode normal
     
     
  • Installation et utilisation d'HijackThis=>
    Crée un nouveau dossier à la racine de ton disque dur :
    C:\Program Files\HijackThis
    Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
    Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.
    Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
     
     
  • Arrête tous les programmes en cours et ferme toutes les fenêtres
     
     
  • Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
     
     
  • Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
     
     
  • NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.

Phase 4

  • Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  • Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses :P
     
    Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :
     
     
  • Exécute Hijackthis :
    Clique sur "Open the misc tools sections"
    Clique sur "Open uninstall Manager"
    Clique sur "Save list"
    Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

[auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso]

 

Bon courage :P

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Après une nuit de scan avec antivir, le résultat semble bon puisque au redémarrage , plus de "mtnbzwroj" détecté par ad'-watch.

Voici quand même un log :

 

Logfile of HijackThis v1.99.1

Scan saved at 06:39:53, on 05/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\GILLOU~1.MON\LOCALS~1\Temp\Rar$EX06.531\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Startup: Ad-Watch SE Professional (2).lnk = C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

O4 - Startup: ashDisp.lnk = C:\Program Files\Alwil Software\Avast4\ashDisp.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm

O8 - Extra context menu item: Surligner en Jaune - C:\WINDOWS\web\MarqueurFluoYellow.htm

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.geoportail.fr

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

 

 

Ne faites pas attention aux deux antivirus, j'ai un choix à faire en décidant lequel je vais garder....!!

Merci et.........

....................bonne journée

Modifié par ptitgillou
Lien vers le commentaire
Partager sur d’autres sites

Re,

Désolé pour le retard, j'ai pas trop de temps en ce moment

 

Hijackthis est mal placé, et n'est pas renommé. Voudrais-tu refaire cette étape de la procédure ?

Hijackthis étant placé dans un répertoire temporaire, on risque de perdre les sauvegardes (en utilisant un outil de nettoyage par exemple). De plus, il vaut mieux renommer Hijackthis car certaines infections le détournent et peuvent se dissimuler dans un Log :

 

* Installation et utilisation d'HijackThis=>

Crée un nouveau dossier à la racine de ton disque dur :

C:\Program Files\HijackThis

Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".

Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

* Arrête tous les programmes en cours et ferme toutes les fenêtres

 

* Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"

 

* Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

* NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.

 

 

Ensuite, copie-colle le rapport de ce nouveau fichier.log dans ta prochaine réponse.

 

___________________________________________________

 

 

Sinon, j'ai quand même des doutes sur le fait que l'infection ait disparu aussi facilement. Veux-tu scanner ton pc avec cet outil pour le vérifier :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

___________________________________________________

 

 

 

A+ et bonne chance :P

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites

ReBonjour,

Voici le log HijackThis ,

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:05:15, on 06/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ptitgillou.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Startup: Ad-Watch SE Professional (2).lnk = C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

O4 - Startup: ashDisp.lnk = C:\Program Files\Alwil Software\Avast4\ashDisp.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm

O8 - Extra context menu item: Surligner en Jaune - C:\WINDOWS\web\MarqueurFluoYellow.htm

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.geoportail.fr

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

 

 

Pour"BlackLight". il n'a RIEN trouvé.......

Je me pose des questions sur:

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

O15 - Trusted Zone: http://www.geoportail.fr

 

Merci de vos éclaircissements.

à bientôt

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Bon, apparemment, adwatch s'est occupé de la valeur de registre (le processus ne se lançant plus au démarrage).

 

=================================================

 

1/ Tu va cependant supprimer les fichiers restants :

 

- C:\WINDOWS\system32\mtnbzwroj.exe

- C:\WINDOWS\system32\mtnbzwroj.dat

- C:\WINDOWS\system32\mtnbzwroj_nav.dat

- C:\WINDOWS\system32\mtnbzwroj_navps.dat

 

 

Et supprimer les dossiers suivants, si ils existent bien entendu :

 

- C:\Program Files\InternetGameBox

- C:\Program Files\MailSkinner

- C:\Program Files\InstantAccess

- C:\Program Files\gorecord

 

Et vide la corbeille

 

____________________________________________________

 

2/ Et termine par un nettoyage des fichiers/dossiers temporaires, ainsi que du registre :

 

Télécharge et installe :

 

- ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe

-- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus

-- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main")

 

- Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html

 

 

Pour les utiliser, suis ces instructions (dans l'ordre) :

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

Le tuto => http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

______________________________________________________

 

 

3/ Ensuite, pour vérifier que rien d'autre ne "traîne" sur ton système, tu vas le scanner avec un antivirus en ligne :

 

- Commence par désactiver le bouclier Web d'avast ( clic droit sur pasdenom3io.jpg dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien

 

- Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html

 

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

- Réactive le bouclier Web d'avast

- Copie/colle le contenu du fichier texte dans ta prochaine réponse

 

- Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte)

 

NB : Si le scan en fonctionne pas, vérifie qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie

Paramétrer Internet Explorer

 

==================================================

 

Ajoute au rapport de Panda un nouveau rapport Hijackthis généré en mode normal, le mode courant (et pas en mode sans échec)

 

 

Bonne chance :P

 

 

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

 

C'est un protocole additionnel ajouté par Windows Live messenger

 

 

O15 - Trusted Zone: http://www.geoportail.fr

 

Cette adresse fait partie de la zone de confiance d'IE. Si tu connais ce site, il n'y a pas de problème. Et j'ai vérifié, ce n'est pas un site indésirable, comme tu peux le constater.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Le scan Panda se révèle assez poussé puisqu'il a détecté des virus non vu par Avast et Antivir; voici le rapport :

 

Incident Statut Analyse

 

Virus:Bck/Graybird.HU Désinfecté C:\WINDOWS\$NtUninstallKB918899$\iedw.exe

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Adware:adware/cws.searchmeup No Désinfecté C:\WINDOWS\uniq

Outil indésirable:Application/Processor No Désinfecté D:\internet\logiciel xp\Smitfraud\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté D:\internet\logiciel xp\Smitfraud\SmitfraudFix.zip[smitfraudFix/Process.exe]

et maintenant le Log HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:01:37, on 06/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\ptitgillou.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Startup: Ad-Watch SE Professional (2).lnk = C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

O4 - Startup: ashDisp.lnk = C:\Program Files\Alwil Software\Avast4\ashDisp.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm

O8 - Extra context menu item: Surligner en Jaune - C:\WINDOWS\web\MarqueurFluoYellow.htm

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/activescan/fr...n_principal.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.geoportail.fr

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E6897BAB-DE07-4341-A196-46CD6D7B5675}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

 

Merci d'avance de continuer à osculter mon PC.........

Bonne soirée

 

 

oups, le log BlackLight

09/05/06 20:49:08 [info]: BlackLight Engine 1.0.46 initialized

09/05/06 20:49:08 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/05/06 20:49:08 [Note]: 7019 4

09/05/06 20:49:08 [Note]: 7005 0

09/05/06 20:49:12 [Note]: 7006 0

09/05/06 20:49:12 [Note]: 7011 1832

09/05/06 20:49:12 [Note]: 7026 0

09/05/06 20:49:12 [Note]: 7026 0

09/05/06 20:49:19 [Note]: FSRAW library version 1.7.1019

09/05/06 21:07:23 [Note]: 7006 0

09/05/06 21:07:23 [Note]: 7011 1832

09/05/06 21:07:23 [Note]: 7026 0

09/05/06 21:07:23 [Note]: 7026 0

09/05/06 21:07:26 [Note]: FSRAW library version 1.7.1019

09/05/06 21:18:04 [Note]: 7006 0

09/05/06 21:18:04 [Note]: 7011 1832

09/05/06 21:18:04 [Note]: 7026 0

09/05/06 21:18:04 [Note]: 7026 0

09/05/06 21:18:06 [Note]: FSRAW library version 1.7.1019

09/06/06 05:29:33 [Note]: 7007 0

 

C'est tout pour ce soir

Modifié par ptitgillou
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...