RAPPORT HIJACKYHIS

[WHYNOT8661]

Voici les rapports que tu m'as demandé. Par contre en ralumant l'ordi en mode normal il a bloqué et j'ai été obligé de redémarer à la sauvage. Spy sweeper m'a annoncé une alert : mrpvoquai.

Logfile of HijackThis v1.99.1

Scan saved at 13:25:17, on 22/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\Explorer.EXE

D:\HijackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = HERVE / L EXPLOREUR D INTERNET

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {06586673-FECF-58E5-8BC4-C47F9BAA08D1} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [mrpvoquai] c:\windows\system32\mrpvoquai.exe mrpvoquai

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] "C:\Program Files\IncrediMail\bin\IncMail.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] "C:\Program Files\eMule\emule.exe" -AutoStart

O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {3DC2E31C-371A-4BD3-9A27-CDF57CE604CF} - http://fr.moneycentral.msn.com/cabs/pmupd806.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1143816906750

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/vir...5/installer.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4C2BC9EE-AF8B-4C0A-97BF-0470DB1A4252}: NameServer = 212.27.39.1,213.228.0.212

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

 

 

13:23: Removal process completed. Elapsed time 00:00:25

13:23: jrikp1.dll is in use. It will be removed on reboot.

13:23: jrikp1.upd is in use. It will be removed on reboot.

13:23: potentially rootkit-masked files is in use. It will be removed on reboot.

13:23: Quarantining All Traces: potentially rootkit-masked files

13:23: Quarantining All Traces: intruse

13:23: Quarantining All Traces: purityscan

13:23: Quarantining All Traces: xiti cookie

13:23: Quarantining All Traces: whenu save

13:23: Removal process initiated

13:19: Traces Found: 9

13:19: Full Sweep has completed. Elapsed time 00:06:37

13:19: File Sweep Complete, Elapsed Time: 00:05:33

13:19: jrikp1.dll (ID = 0)

13:19: jrikp1.upd (ID = 0)

13:19: Found System Monitor: potentially rootkit-masked files

13:19: Warning: Failed to access drive F:

13:19: Warning: Failed to access drive E:

13:18: Warning: Failed to open file "d:\pagefile.sys". Accès refusé

13:18: bd15274_.gif:kavichs (ID = 258864)

13:18: Found Trojan Horse: intruse

13:17: Warning: Failed to open file "c:\program files\fichiers communs\system\ffuq.exe". Opération réussie

13:17: Warning: Failed to open file "c:\program files\fichiers communs\system\rmeb.exe". Opération réussie

13:16: Warning: Failed to open file "c:\program files\fichiers communs\system\mvd.exe". Opération réussie

13:15: winword.exe (ID = 230)

13:15: Found Adware: purityscan

13:15: Warning: Failed to open file "c:\program files\fichiers communs\system\itb.exe". Opération réussie

13:14: Warning: Failed to open file "c:\program files\fichiers communs\system\pql.exe". Opération réussie

13:14: Warning: Failed to open file "c:\program files\fichiers communs\system\fgh.exe". Opération réussie

13:14: Warning: Failed to open file "c:\program files\fichiers communs\system\dir.exe". Opération réussie

13:14: Warning: Failed to open file "c:\program files\fichiers communs\system\dwm.exe". Opération réussie

13:14: Warning: Failed to open file "c:\program files\fichiers communs\system\ejd.exe". Opération réussie

13:14: Warning: Failed to open file "c:\program files\fichiers communs\system\czs.exe". Opération réussie

13:13: Warning: Failed to open file "c:\program files\fichiers communs\system\pvg.exe". Opération réussie

13:13: Warning: Failed to open file "c:\program files\fichiers communs\system\ehl.exe". Opération réussie

13:13: Warning: Failed to open file "c:\program files\fichiers communs\system\ars.exe". Opération réussie

13:13: Warning: Failed to open file "c:\program files\fichiers communs\system\pccb.exe". Opération réussie

13:13: Warning: Failed to open file "c:\program files\fichiers communs\system\hndjzf.exe". Opération réussie

13:13: Warning: Failed to open file "c:\program files\fichiers communs\system\bon.exe". Opération réussie

13:13: Warning: Failed to open file "c:\program files\fichiers communs\system\kun.exe". Opération réussie

13:13: Starting File Sweep

13:13: Warning: Failed to access drive A:

13:13: Cookie Sweep Complete, Elapsed Time: 00:00:00

13:13: herve@xiti[1].txt (ID = 3717)

13:13: Found Spy Cookie: xiti cookie

13:13: Starting Cookie Sweep

13:13: Registry Sweep Complete, Elapsed Time:00:00:18

13:13: HKLM\software\classes\appid\{127df9b4-d75d-44a6-af78-8c3a8ceb03db}\ (ID = 773976)

13:13: HKLM\software\classes\appid\acm.dll\ (ID = 773974)

13:13: HKCR\appid\{127df9b4-d75d-44a6-af78-8c3a8ceb03db}\ (ID = 773962)

13:13: HKCR\appid\acm.dll\ (ID = 773960)

13:13: Found Adware: whenu save

13:13: Starting Registry Sweep

13:13: Memory Sweep Complete, Elapsed Time: 00:00:38

13:12: Starting Memory Sweep

13:12: Sweep initiated using definitions version 691

13:12: Spy Sweeper 5.0.5.1286 started

13:12: | Start of Session, dimanche 22 octobre 2006 |

********

13:12: | End of Session, dimanche 22 octobre 2006 |

13:12: Program Version 5.0.5.1286 Using Spyware Definitions 691

Keylogger Shield: On

BHO Shield: On

IE Security Shield: On

Alternate Data Stream (ADS) Execution Shield: On

Startup Shield: On

Common Ad Sites Shield: Off

Hosts File Shield: On

Spy Communication Shield: On

ActiveX Shield: On

Windows Messenger Service Shield: On

IE Favorites Shield: On

Spy Installation Shield: On

Memory Shield: On

IE Hijack Shield: On

IE Tracking Cookies Shield: Off

13:07: Shield States

13:07: Spyware Definitions: 691

13:07: Spy Sweeper 5.0.5.1286 started

13:07: Spy Sweeper 5.0.5.1286 started

13:07: | Start of Session, dimanche 22 octobre 2006 |

********

Spy Sweeper n'arrête pas de me relancer avec cet alerte . Merci encore j'espère que l'ordi ne vas pas beuguer avant que tu puisses me donner le remède. Hervé

[regis56]

RE

 

Essai ceci STP

 

Télécharge ce fichier - combofix.exe

et sauvegarde le sur ton bureau et pas ailleurs!

 

Double-clic sur combofix, Il va te poser une question, réponds yes (touche y) puis attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

 

Copie/colle un nouveau rapport HijackThis avec.

 

A plus.

[WHYNOT8661]

RE

 

Essai ceci STP

 

Télécharge ce fichier - combofix.exe

et sauvegarde le sur ton bureau et pas ailleurs!

 

Double-clic sur combofix, Il va te poser une question, réponds yes (touche y) puis attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

 

Copie/colle un nouveau rapport HijackThis avec.

 

A plus.

 

 

Désolé impossible de télécharger combofix.exe ça me refait comme je te l'avait dit hier, on me demande ma connexion free avec nr tph mot de passe etc... avec rond noir barré à cotés curseur souris.

J'y comprend plus rien. Merci.

[regis56]

Re

 

Bon on va tenter ceci

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec :

1) Redémarre ton ordi

2) Tapote la touche F8 immédiatement, juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisi la première option : Sans Échec, et valide avec "Entrée"

5) Choisi ton compte régulier, et non Administrateur

 

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

 

A plus.

[WHYNOT8661]

Re

 

Bon on va tenter ceci

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec :

1) Redémarre ton ordi

2) Tapote la touche F8 immédiatement, juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisi la première option : Sans Échec, et valide avec "Entrée"

5) Choisi ton compte régulier, et non Administrateur

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

 

A plus.

[/quote

 

désolé ça "mer.." encore, lorsque je clique sur kavupd.exe, le fenêtre DOS ne s'ouvre pas, je l'ai vu une fois en un éclair et c'est tout. Dois-je quand même lancer "eScan Antivirus Toolkit", ??? Merci.

[regis56]

Re

 

Oui tant pis pour la mise à jour !

 

Continu.

 

A plus.

[WHYNOT8661]

Re

 

Oui tant pis pour la mise à jour !

 

Continu.

 

A plus.

Ca a été long et heureusement qu'il n'y avait pas grand chose car impossible de faire "copier" dans le log alors je t'acris les deux seules lignes qu'il y avait :

 

File C : \Documents and settings\Hervé\Bureau\Smitfraudfix\Smitfraudfix\reboot.exe tagged is not a virus : Risk Tool.Win32.Reboot.f.No action Taken

 

File C : \Documents and settings\Hervé\Bureau\Smitfraudfix.zip tagged is not a virus : Risk Tool.Win32.Reboot.f.No action Taken

 

C'est pas grand chose. Que peut on faire d'autres. Merci

[WHYNOT8661]

Ca a été long et heureusement qu'il n'y avait pas grand chose car impossible de faire "copier" dans le log alors je t'acris les deux seules lignes qu'il y avait :

 

File C : \Documents and settings\Hervé\Bureau\Smitfraudfix\Smitfraudfix\reboot.exe tagged is not a virus : Risk Tool.Win32.Reboot.f.No action Taken

 

File C : \Documents and settings\Hervé\Bureau\Smitfraudfix.zip tagged is not a virus : Risk Tool.Win32.Reboot.f.No action Taken

 

C'est pas grand chose. Que peut on faire d'autres. Merci

j ai fais une nouvelle analyse avec Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 19:39:30, on 22/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

D:\HijackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = HERVE / L EXPLOREUR D INTERNET

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {06586673-FECF-58E5-8BC4-C47F9BAA08D1} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [mrpvoquai] c:\windows\system32\mrpvoquai.exe mrpvoquai

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] "C:\Program Files\IncrediMail\bin\IncMail.exe" /c

O4 - HKCU\..\Run: [mrpvoquai] "c:\windows\system32\mrpvoquai.exe" mrpvoquai

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {3DC2E31C-371A-4BD3-9A27-CDF57CE604CF} - http://fr.moneycentral.msn.com/cabs/pmupd806.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1143816906750

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/vir...5/installer.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4C2BC9EE-AF8B-4C0A-97BF-0470DB1A4252}: NameServer = 212.27.39.1,213.228.0.212

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

 

Tu peux voir que j'ai fais une analyse avec AVAST en quittant Kaspersky et AVST a trouvé le virus "purityscan qu'il a mis en quarantaine.

[regis56]

Re

 

fais ceci STP

 

1) Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

2)-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute");

- Double-clique sur EGDACCESS.bfu

- Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" :

C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

 

4)Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" )

 

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mrpvoquai
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mrpvoquai
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|mrpvoquai
FileDelete %SYSDIR%\mrpvoquai_navup.dat
FileDelete %SYSDIR%\mrpvoquai_navps.dat
FileDelete %SYSDIR%\mrpvoquai_nav.dat
FileDelete %SYSDIR%\mrpvoquai.dat
FileDelete %SYSDIR%\mrpvoquai.exe
FileDelete %WINDIR%\PREFETCH\mrpvoquai.exe*.pf

 

5) Enregistre ce fichier dans c:\BFU

-Nom du fichier : aftermath.bfu

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc note

 

6) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute");

- Double-clique sur aftermath.bfu

- Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" :

C:\BFU\aftermath.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

7) Repasse un scan complet avec AVG Anti-Spyware (toujours en mode Sans Échec), et sauvegarde son rapport.

 

8 ) Redémarre en mode Normal.

 

Poste le nouveau rapport d'AVG Anti-Spyware

un nouveau log HijackThis!

Et un nouveau rapport Blacklight STP dans ta prochaine réponse.

 

Bon courage à plus !

[WHYNOT8661]

Re

 

fais ceci STP

 

1) Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

2)-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

 

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute");

- Double-clique sur EGDACCESS.bfu

- Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" :

C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

4)Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" )

 

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mrpvoquai
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mrpvoquai
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|mrpvoquai
FileDelete %SYSDIR%\mrpvoquai_navup.dat
FileDelete %SYSDIR%\mrpvoquai_navps.dat
FileDelete %SYSDIR%\mrpvoquai_nav.dat
FileDelete %SYSDIR%\mrpvoquai.dat
FileDelete %SYSDIR%\mrpvoquai.exe
FileDelete %WINDIR%\PREFETCH\mrpvoquai.exe*.pf

 

5) Enregistre ce fichier dans c:\BFU

-Nom du fichier : aftermath.bfu

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc note

 

6) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute");

- Double-clique sur aftermath.bfu

- Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" :

C:\BFU\aftermath.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

7) Repasse un scan complet avec AVG Anti-Spyware (toujours en mode Sans Échec), et sauvegarde son rapport.

 

8 ) Redémarre en mode Normal.

 

Poste le nouveau rapport d'AVG Anti-Spyware

un nouveau log HijackThis!

Et un nouveau rapport Blacklight STP dans ta prochaine réponse.

 

Bon courage à plus !

DESOLE MAIS JE NE PEUX EFFECTUE LE CHAPITRE 1 JE SUIS RENVOY ENCORE SUR UNE DEMANDE DE CONNEXION FREE AVEC MOT DE PASSE ETC.... QUE FAIRE D AUTRE ! Merci encore, mais tu ne te reposes jamais ???