demande d'aide

[juliette2446]

Bonjour,

"Antivir? Moi je vois Avast! Ce qui est déconseillé d'ailleurs; j'avais déjà préparé une proposition de changement d'antivirus."

En fait, j'avais suivi une marche à suivre quelquepart sur ce site où il était recommandé de changer avast contre antivir, ce que j'ai fait, mais il semble que celui que j'ai téléchargé soit périmé: galère, galère....

 

Bon, je te renvoie le message du bloc note, mais j'ai toujours des fenêtres d'alerte, qui s'affiche tout le temps... J'ai l'impression d'avoir toujours le virus(?)

juliette

 

Clean Navipromo version 3.4.8 commencé le 02/03/2008 à 23:06:55,30

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 25.02.2008 à 20h00 par IL-MAFIOSO

 

Microsoft Windows Vista 6.0.6000

Internet Explorer : 7.0.6000.16609

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\Windows\System32 *

 

 

* Suppression dans C:\Users\juliette roy\AppData\Local\Microsoft *

 

 

* Suppression dans C:\Users\juliette roy\AppData\Local\virtualstore\windows\system32 *

 

 

* Suppression dans C:\Users\juliette roy\AppData\Local *

 

 

 

*** Suppression dossiers dans C:\Windows ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\ProgramData ***

 

 

*** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

 

 

*** Suppression dossiers dans C:\Users\JULIET~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs ***

 

 

*** Suppression dossiers dans C:\Users\juliette roy\AppData\Local\virtualstore\Program Files ***

 

 

*** Suppression dossiers dans C:\Users\juliette roy\AppData\Roaming ***

 

 

 

*** Suppression fichiers ***

 

C:\Users\Public\Desktop\WebMediaPlayer.lnk supprimé !

C:\Windows\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\Windows\Temp effectué !

Nettoyage contenu C:\Users\JULIET~1\AppData\Local\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans C:\Windows\system32 *

 

 

* Dans C:\Users\juliette roy\AppData\Local\Microsoft *

 

 

* Dans C:\Users\juliette roy\AppData\Local\virtualstore\windows\system32 *

 

 

* Dans C:\Users\juliette roy\AppData\Local *

 

 

*** Sauvegarde du Registre vers dossier Backupnavi ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

 

*** Nettoyage terminé le 03/03/2008 à 19:02:18,48 ***

 

 

 

 

 

 

 

Antivir? Moi je vois Avast! Ce qui est déconseillé d'ailleurs; j'avais déjà préparé une proposition de changement d'antivirus.

 

Essaie d'abord d'utiliser Navilog1 (les options 1 puis 2) en mode sans échec; l'antivirus sera inactif.

Mode sans échec:

 

Pour faire des analyses en mode sans echec faire comme suit:

 

Au démarrage ou redémarrage du pc tapoter la touche F8 jusqu'à avoir un écran noir et blanc avec plusieurs options.

 

A l'aide des flèches de direction du clavier, choisir:mode sans echec et presser la touche ENTER.

 

Le système sera plus lent et l'écran bizarre, c'est normal.

 

Faire les analyses.

 

Après ces analyses, redémarrer le pc normalement.

 

Autre méthode: TUTO SYMANTEC

 

Par après, tu pourras remplacer Avast par Antivir, bien plus performant!

 

Explications et tuto de Malekal_Morte:

http://forum.malekal.com/ftopic4192.php

 

Et si tu n'as pas d'autre firewall que celui de Vista, on t'en trouvera un gratuit si tu le désires.

 

Mais il est primordial de terminer l'option 2 de Navilog et d'avoir son rapport.

Si tu n'obtenais pas ce rapport option 2, reposte un nouveau log Hijackthis pour vérifier si l'infection a disparu, Navilog1 a sans doute fait son boulot.

 

@ demain.

[Apollo]

Bonsoir,

 

Encore des fenêtres intempestives?

Navilog1 a pourtant fair son travail; bon on va investiguer avec deux autres analyses:

 

Télécharge SmitfraudFix sur ton bureau.

• 
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
  

2. Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

@+ tard Juliette.

[juliette2446]

Je t'envoie le rapport, et je fais l'opération N°2.

SmitFraudFix v2.300

 

Scan done at 21:46:04,67, 03/03/2008

Run from C:\Program Files\Mozilla Firefox\SmitfraudFix

OS: Microsoft Windows [version 6.0.6000] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\WLTRYSVC.EXE

C:\Windows\System32\bcmwltry.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\WindowsMobile\wmdc.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Windows\sttray.exe

C:\Windows\System32\WLTRAY.EXE

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Dell\MediaDirect\PCMService.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Dell Support Center\bin\sprtcmd.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

C:\Program Files\Dell Support Center\bin\sprtsvc.exe

C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\DRIVERS\xaudio.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe

C:\Windows\system32\vssvc.exe

C:\Windows\System32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\cmd.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\juliette roy

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\juliette roy\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\JULIET~1\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~2\\GOEC62~1.DLL"

"LoadAppInit_DLLs"=dword:00000001

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte Mini Dell Wireless 1390

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{414E8770-6CC7-4F24-8426-C3439B4C6903}: DhcpNameServer=163.244.4.254 163.244.76.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9E18E4C3-8636-428E-9796-40BD97E66D18}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{414E8770-6CC7-4F24-8426-C3439B4C6903}: DhcpNameServer=163.244.4.254 163.244.76.254

HKLM\SYSTEM\CS1\Services\Tcpip\..\{9E18E4C3-8636-428E-9796-40BD97E66D18}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{414E8770-6CC7-4F24-8426-C3439B4C6903}: DhcpNameServer=163.244.4.254 163.244.76.254

HKLM\SYSTEM\CS3\Services\Tcpip\..\{9E18E4C3-8636-428E-9796-40BD97E66D18}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

Bonsoir,

 

Encore des fenêtres intempestives?

Navilog1 a pourtant fair son travail; bon on va investiguer avec deux autres analyses:

 

Télécharge SmitfraudFix sur ton bureau.

• 
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
  

2. Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

@+ tard Juliette.

[Apollo]

SmitfraudFix n'a rien détecté, tu peux passer à l'autre outil

 

@+tard

[juliette2446]

L'autre outil est en route, mais ça a l'air très très long, tu a une idée du temps approximatif? (je suis crevée ce soir...)

Je finis de corriger mes copies, et j'irais bien me coucher...

 

 

 

SmitfraudFix n'a rien détecté, tu peux passer à l'autre outil

 

@+tard

[Apollo]

Mmmh je ne me sers jamais de ces outils donc je ne peux pas être très précis.

 

Cependant, c'est uniquement parce que tu m'as dit encore avoir des fenêtres intempestives que je te fais passer ces outils car à première vue, je n'ai pas détecté la présence de Smitfraud ou de Vundo.

 

Ces fenêtres vantent-elles les "vertus" d'utilitaires de sécurité? (Genre Winantivirus, System Doctor, etc.) En général, ce sont des escroqueries.

 

Ce n'est pas très grave si tu ne peux terminer ce scan ce soir, ce n'est pas une infection trop importante à première vue.

 

Je prendrai des renseignements auprès de conseillers plus avancés que moi si ce problème persistait.

Je vais quand-même tester VundoFix pour connaître la durée... bien que je n'en n'aie aucun besoin.

 

Bonne fin de soirée et bon repos.

[juliette2446]

Ce sont des fenêtres d'antivir me semble-t-il. J'ai desinstallé l'antivir périmé et réinstallé par le lien que tu m'as donné avnt de proceder aux deux opérations de rapport d'erreurs. Il semble que depuis j'ai eu moins (ou plus du tout ?) de ces fenêtres.

Sinon, ça doit bien faire 1heure qu'il turbine avec Vundofix!

Quant à moi, j'ai fini mon tas de copies.

Bonne nuit

Juliette

 

.Mmmh je ne me sers jamais de ces outils donc je ne peux pas être très précis.

 

Cependant, c'est uniquement parce que tu m'as dit encore avoir des fenêtres intempestives que je te fais passer ces outils car à première vue, je n'ai pas détecté la présence de Smitfraud ou de Vundo.

 

Ces fenêtres vantent-elles les "vertus" d'utilitaires de sécurité? (Genre Winantivirus, System Doctor, etc.) En général, ce sont des escroqueries.

 

Ce n'est pas très grave si tu ne peux terminer ce scan ce soir, ce n'est pas une infection trop importante à première vue.

 

Je prendrai des renseignements auprès de conseillers plus avancés que moi si ce problème persistait.

Je vais quand-même tester VundoFix pour connaître la durée... bien que je n'en n'aie aucun besoin.

 

Bonne fin de soirée et bon repos.

[Apollo]

Ok alors, tu peux stopper VundoFix en cliquant sur la X rouge de fermeture.

 

On va supprimer les outils utilisés pendant la procédure:

 

Supprime directement Smifraudfix et VundoFix. Si celui-ci dit qu'il est en cours, clique droit sur l'horloge puis clic gestionnaire des tâches et clique sur la ligne VundoFix; puis sur le bouton "fin de tâche". Tu pourras alors le mettre à la corbeille.

 

Suppression de Navilog 1 de votre ordinateur :

 

- soit via le panneau ajout/suppression des programmes : recherchez Navilog1 puis cliquez sur "supprimer" et suivez les instructions. Une fois Navilog1 désinstallé, via votre poste de travail, supprimez si présent le dossier Navilog1 qui se trouve dans le dossier %program files% de votre ordinateur

 

- soit Via votre poste de travail : Rendez-vous dans le dossier Navilog1 qui se trouve dans le dossier %program files% de votre ordinateur, doubles-cliquez sur le fichier uninstall et suivez les instructions. Une fois Navilog1 désinstallé, supprimez le dossier Navilog1 s'il est encore présent.

 

N'oublie pas de réactiver l'UAC que tu as désactivé au tout début de la désinfection, il est important pour la sécurité de Vista.

 

Bonne nuit.

[juliette2446]

Salut, Vundofix n'a rien trouvé et je t'envoie un dernier rapport mais cette nuit deux fois les fenêtres de détection se sont ouvertes.

 

...Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:08:09, on 04/03/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\WindowsMobile\wmdc.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Windows\sttray.exe

C:\Windows\System32\WLTRAY.EXE

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Dell\MediaDirect\PCMService.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Dell Support Center\bin\sprtcmd.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\conime.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [sigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

O4 - HKCU\..\Run: [emteibgye] c:\users\juliette roy\appdata\local\emteibgye.exe emteibgye

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe

O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe

O4 - Global Startup: QuickSet.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O13 - Gopher Prefix:

O16 - DPF: CANALPLAY Installer - http://www.canalplay.com/cabs/CanalInstaller.CAB

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 8732 bytes

 

 

d'Antivir oOk alors, tu peux stopper VundoFix en cliquant sur la X rouge de fermeture.

 

On va supprimer les outils utilisés pendant la procédure:

 

Supprime directement Smifraudfix et VundoFix. Si celui-ci dit qu'il est en cours, clique droit sur l'horloge puis clic gestionnaire des tâches et clique sur la ligne VundoFix; puis sur le bouton "fin de tâche". Tu pourras alors le mettre à la corbeille.

 

Suppression de Navilog 1 de votre ordinateur :

 

- soit via le panneau ajout/suppression des programmes : recherchez Navilog1 puis cliquez sur "supprimer" et suivez les instructions. Une fois Navilog1 désinstallé, via votre poste de travail, supprimez si présent le dossier Navilog1 qui se trouve dans le dossier %program files% de votre ordinateur

 

- soit Via votre poste de travail : Rendez-vous dans le dossier Navilog1 qui se trouve dans le dossier %program files% de votre ordinateur, doubles-cliquez sur le fichier uninstall et suivez les instructions. Une fois Navilog1 désinstallé, supprimez le dossier Navilog1 s'il est encore présent.

 

N'oublie pas de réactiver l'UAC que tu as désactivé au tout début de la désinfection, il est important pour la sécurité de Vista.

 

Bonne nuit.

[Apollo]

Bonjour Juliette2446.

 

L'infection Magic Control semble faire de la résistance

 

Lance Hijackthis et clique sur le bouton: "Do a system Scan only"

 

Coche la case devant les lignes suivantes:

 

O4 - HKCU\..\Run: [emteibgye] c:\users\juliette roy\appdata\local\emteibgye.exe emteibgye

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - Global Startup: QuickSet.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer

 

Ferme toutes les fenêtres en cours sauf Hijackthis; clique alors sur Fix Checked.

 

Stp rends- toi sur cette page afin de télécharger Winreg5.reg

 

> http://www.sendspace.com/file/ez8yni

pour cela, clique sur le lien en bas de page > Download Link: Winreg5.reg et enregistre-le sur le bureau

 

Enregistre le fichier Reg sur le bureau; il ressemblera à ceci:

 

Double-clique sur ce fichier et accepte la fusion dans le registre; cela dure une fraction de seconde.

 

Tu peux ensuite mettre le fichier Winreg5 à la corbeille et vider celle-ci.

 

Mets ta console Java à jour ici: http://www.filehippo.com/download_java_runtime/ clique sur la flèche verte à droite et enregistre l'exécutable sur le bureau.

Exécute-le ensuite et, quand l'installation de l'update 04 es terminée, rends-toi via le panneau de configuration dans ajouter/supprimer des programmes.

 

Désinstalle toute version antérieure à 6 Updtate 04, afin déliminer les failles présentes dans les anciennes versions.

 

 

Poste un nouveau log Hijackthis s'il te plait.

@ plus tard.

Modifié le 4 mars 2008 par Apollo.01