system doctor

lohiva · le 5 décembre 2006

Bonjour à tous,

Des amis m'envoient régulièrement des messages humoristiques auxquels sont généralement attachés des fichiers qui, quant je les ouvrent m'envoient parfois sur des sites inconnus. Cette fois, c'est la cata...

Avant même que ce fichier "douteux" ne s'ouvre, un antivirus (que je croyais venir de microsoft) m'a proposé de faire une analyse de tout mon système, prétextant qu'il était infecté. Après un simple "clic" sur celui-ci, il a fait un démarage instantanné et repéré des centaines de fichiers infectés. J'ai compris la supercherie lorsque j'ai vu que des fichiers venant de mon "très sérieux" employeur étaient soit-disant infectés. Trop tard, ce système est installé et ne veut plus me quitter...

A première vue, son nom est:

system doctor

J'ai été infecté en 2005, et Zébulon m'avais très efficcement aidé. J'arrive à corriger de petits problèmes, mais cette fois, je ne sais pas vraiment quelle solution choisir.

Je lance un appel à l'aide...

Merci et à bientôt.

regis56 · le 5 décembre 2006

Bonsoir lohiva

Bienvenue sur les forums de Zebulon;)

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

Phase 1

Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
Télécharge Antivir
Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !
Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
- failles de ton antivirus qui a laissé passer des malwares
- Antivir peut-être installé et désinstallé facilement
- Antivir est reconnu pour son efficacité en mode sans échec
- le tutorial de tesgaz permet de le paramétrer sans problème.
Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)

Phase 2

Redémarre le PC, impérativement en mode sans échec.
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
Comment démarrer l'ordinateur en mode sans échec
A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.

Phase 3

Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
-Activer la case : "Afficher les fichiers et dossiers cachés"
-Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
-Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
-Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
-C:\TEMP
-C:\WINDOWS\TEMP
-C:\Documents And Settings\Session utilisateur\Local Settings\Temp
-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
-Vider la corbeille
Recherche et élimination des parasites avec Antivir=>
lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
Sauvegarde le rapport!
Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
Puis, désinstalle Antivir dans ajout/suppression de programmes.
Redémarre le PC en mode normal
Installation et utilisation d'HijackThis=>
Crée un nouveau dossier à la racine de ton disque dur :
C:\Program Files\HijackThis
Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Crée un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
Arrête tous les programmes en cours et ferme toutes les fenêtres
Exécute HijackThis à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.

Phase 4

Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses;)

Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :
Exécute Hijackthis :
Clique sur "Open the misc tools sections"
Clique sur "Open uninstall Manager"
Clique sur "Save list"
Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

[auteur de la méthode : Megataupe / New canned par Charles Ingals / Gof]

Bon courage @ +

lohiva · le 9 décembre 2006

Bonjour REGIS56,

Je te remercie pour ton intervention.

J'espère que je vais pouvoir appliquer correctement ta procédure; j'ai téléchargé ANTIVIR et je l'ai configuré selon les règles que tu m'as proposées. Ce programme me semble très bien; je me suis permis de faire un scan, 2 virus ont été détectés et mis en quarentine.

Mon antivirus est AVAST; il est inactif pour l'instant (ANTIVIR semble avoir pris le relai); lorsque j'aurai terminé la procédure de nettoyage je devrai choisir un des 2 antivirus, mais je ne sais pas vraiment lequel choisir. AVAST n'avait, en effet pas détecté le problème. Pour le moment, je n'ai plus d'ouverture de fenêtre intempestives, mais le système reste un peu lent.

Bonjour à toute votre équipe,

regis56 · le 9 décembre 2006

Bonjour lohiva !

Ton problème ne vient pas de ton antivirus : avast est très bien et tu peut le garder si tu veut.

Tu n'as pas du aller jusqu'au bout de la procédure car je ne vois pas de rapport hiajckthis.

Peut tu en mettre un STP ?

Ensuite j'aimerai que tu fasse ceci STP

Télécharge sur ton bureau RogueRemover de RubbeR DuckY : http://www.malwarebytes.org/RogueRemover.zip

* Créé le dossier C:\RogueRemover pour cela :

-- Ouvre le poste de travail

-- Ouvre le disque C

-- Clic sur le menu Fichier puis Nouveau puis Nouveau Dossier

-- Nomme-le RogueRemover

Décompresse RogueRemover.zip dans C:\RogueRemover

- Rends-toi dans le dossier C:\RogueRemover et double-clic sur le fichier RogueRemover.exe.

* Clic sur le bouton Scan et laisse toi guider.

* Lorsque le scan est terminé.

* Clic sur le bouton Save Log Files en bas, un fichier texte de type RRLogs1236.txt sera créé dans le dossier C:\RogueRemover.

Poste le contenu de ce rapport ici ainsi qu'un nouveau rapport HijackThis.

A plus.

regis56 · le 9 décembre 2006

Bonjour lohiva !

Ton problème ne vient pas de ton antivirus : avast est très bien et tu peut le garder si tu veut.

Tu n'as pas du aller jusqu'au bout de la procédure car je ne vois pas de rapport hiajckthis.

Peut tu en mettre un STP ?

Ensuite j'aimerai que tu fasse ceci STP

Télécharge sur ton bureau RogueRemover de RubbeR DuckY : http://www.malwarebytes.org/RogueRemover.zip

* Créé le dossier C:\RogueRemover pour cela :

-- Ouvre le poste de travail

-- Ouvre le disque C

-- Clic sur le menu Fichier puis Nouveau puis Nouveau Dossier

-- Nomme-le RogueRemover

Décompresse RogueRemover.zip dans C:\RogueRemover

- Rends-toi dans le dossier C:\RogueRemover et double-clic sur le fichier RogueRemover.exe.

* Clic sur le bouton Scan et laisse toi guider.

* Lorsque le scan est terminé.

* Clic sur le bouton Save Log Files en bas, un fichier texte de type RRLogs1236.txt sera créé dans le dossier C:\RogueRemover.

Poste le contenu de ce rapport ici ainsi qu'un nouveau rapport HijackThis.

A plus.

lohiva · le 13 décembre 2006

Bonsoir REGIS56,

Je viens de faire les analyses que tu m'as demandées par ton message du 05-12-2006.

Tu trouveras les rapport ci-dessous:

Rapport ANTIVIR

AntiVir PersonalEdition Classic

Report file date: mercredi 13 décembre 2006 21:11

Scanning for 580247 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Jean-Louis

Computer name: TITI-22F5555B1A

Version information:

BUILD.DAT : 217 12749 Bytes 5/12/2006 17:00:00

AVSCAN.EXE : 7.0.3.2 208936 Bytes 12/12/2006 20:47:24

AVSCAN.DLL : 7.0.3.1 35880 Bytes 12/12/2006 20:47:24

LUKE.DLL : 7.0.3.2 143400 Bytes 12/12/2006 20:47:25

LUKERES.DLL : 7.0.2.0 9256 Bytes 12/12/2006 20:47:25

ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 11:35:27

ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14/11/2006 20:46:04

ANTIVIR2.VDF : 6.36.1.131 294400 Bytes 5/12/2006 20:46:04

ANTIVIR3.VDF : 6.37.0.5 76288 Bytes 12/12/2006 20:47:26

AVEWIN32.DLL : 7.3.0.15 1982976 Bytes 12/12/2006 20:47:27

AVPREF.DLL : 7.0.2.0 23592 Bytes 12/12/2006 20:47:24

AVREP.DLL : 6.36.1.111 983080 Bytes 6/12/2006 20:46:04

AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30/03/2006 09:43:31

AVPACK32.DLL : 7.2.0.5 368680 Bytes 6/12/2006 20:46:05

AVREG.DLL : 7.0.1.1 30760 Bytes 12/12/2006 20:47:24

NETNT.DLL : 6.32.0.0 6696 Bytes 27/09/2005 08:56:49

RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 12/12/2006 20:47:19

RCTEXT.DLL : 7.0.12.1 77864 Bytes 12/12/2006 20:47:19

Configuration settings for the scan:

Jobname..........................: Local Drives

Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: off

Scan memory......................: off

Process scan.....................: on

Scan registry....................: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: off

Expanded search settings.........: 0x00007000

Start of the scan: mercredi 13 décembre 2006 21:11

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Modules have been scanned

Scan process 'avcenter.exe' - '1' Modules have been scanned

Scan process 'HelpSvc.exe' - '1' Modules have been scanned

Scan process 'explorer.exe' - '1' Modules have been scanned

Scan process 'svchost.exe' - '1' Modules have been scanned

Scan process 'lsass.exe' - '1' Modules have been scanned

Scan process 'services.exe' - '1' Modules have been scanned

Scan process 'winlogon.exe' - '1' Modules have been scanned

Scan process 'csrss.exe' - '1' Modules have been scanned

Scan process 'smss.exe' - '1' Modules have been scanned

12 processes with 12 modules were scanned

Starting to scan the registry.

The registry was scanned ( 22 files ).

Starting the file scan:

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Program Files\eMule\Temp\(Albu-rec.ace

[0] Archive type: ACE

--> Plein de bonne vieille chanson fran‡aise... Voulzy, Goldman, Lavilliers, Higelin, Balavoine, CLerc, Le Forestier, etc\Thumbs.db

[WARNING] Error creating the file

--> Plein de bonne vieille chanson fran‡aise... Voulzy, Goldman, Lavilliers, Higelin, Balavoine, CLerc, Le Forestier, etc\desktop.ini

[WARNING] No further files can be extracted from this archive. The archive will be closed

C:\Program Files\eMule\Temp\078.part

[0] Archive type: ACE

--> Plein de bonne vieille chanson fran‡aise... Voulzy, Goldman, Lavilliers, Higelin, Balavoine, CLerc, Le Forestier, etc\Thumbs.db

[WARNING] Error creating the file

--> Plein de bonne vieille chanson fran‡aise... Voulzy, Goldman, Lavilliers, Higelin, Balavoine, CLerc, Le Forestier, etc\desktop.ini

[WARNING] No further files can be extracted from this archive. The archive will be closed

Begin scan in 'E:\'

Begin scan in 'A:\' <E:\>

The path A:\ could not be found!

Le périphérique n'est pas prêt.

Begin scan in 'D:\' <A:\>

The path D:\ could not be found!

Le périphérique n'est pas prêt.

Begin scan in 'F:\' <D:\>

The path F:\ could not be found!

Le périphérique n'est pas prêt.

End of the scan: mercredi 13 décembre 2006 22:15

Used time: 1:03:26 min

The scan has been done completely.

3681 Scanning directories

135541 Files were scanned

0 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

135541 Files not concerned

703 Archives were scanned

7 Warnings

0 Notes

Rapport HIJACKTHIS

Logfile of HijackThis v1.99.1

Scan saved at 22:46:51, on 13/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Makro Offline Software\Agent.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Shareaza\Shareaza.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\PROGRA~1\WinZip\winzip32.exe

C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://127.0.0.1:4664/&s=XKmjFOtxh7Tog520b-_ZJKingjg

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Makro Offline Software\Agent.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1156693864457

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Merçi pour l'examen que tu proposes d'effectuer et à bientôt pour les résultats.

Personnellement les rapports me semblent immenses et incompréhensibles...

regis56 · le 14 décembre 2006

Bonjour lohiva !

Merci pour le raport hijackthis.

Plusieurs chose tu a placé hijackthis dans un répertoire temporaire il faut absolumnet le déplacer dans un répertoire dédié !

Ensuite dis moi qu'elle est ta page de démarrage sur internet explorer STP

As tu fait ce qui était sur ce message :

http://forum.zebulon.fr/index.php?s=&s...st&p=880550

si oui j'aimerai voir le rapport STP

As tu encore des dysfonctionnements ?

Peut tu continuer ensuite en faisant cela STP :

Télécharge AVG Anti-Spyware

Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
Redémarre ton ordi en mode Normal.

.

Je te fais passer un autre outil :

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Prière de poster les rapports suivant dans ta prochaine réponse :

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

Bon courage, et @+

lohiva · le 19 décembre 2006

Bonsoir REGIS56

Je viens de faire ce que me demandes dans la première phase de ton dernier message. Lorsque tu auras confirmé ce message, je ferai la suite. Je préfère procéder étape par étape afin de me repérer...

Ma page de démarrage internet actuelle est Google.

Je ne constate aucun disfonctionnement.

Ci-dessous, le rapports "RogueRemover" et "HijackThis"

A bientôt,

*************

RogueRemover v1.03

1480 total fingerprints loaded.

Loading database ...

Expanding environmental variables ...

Ready, beginning scan ...

Scanning files ... [ 100% ].

Scanning folders ... [ 100% ].

Scanning registry keys ... [ 100% ].

Scanning registry values ... [ 100% ].

RogueRemover has detected rogue antispyware components! Results below...

Type: File

Vendor: DriveCleaner 2006

Location: C:\Program Files\DriveCleaner 2006 Free\sr.log

Type: File

Vendor: Defenza

Location: C:\Program Files\Defenza\PcdasResults1.xml

Type: Folder

Vendor: DriveCleaner 2006

Location: C:\Program Files\DriveCleaner 2006 Free

Type: Folder

Vendor: Defenza

Location: C:\Program Files\Defenza

Type: Registry Key

Vendor: Defenza

Location: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiSpywarePopMenu

Type: Registry Key

Vendor: Defenza

Location: HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\AntiSpywarePopMenu

Rogue Remover has finished removing the above objects.

**************