[résolu]demande d'aide pour infection par fp.pc-on-internet.com

[zoliv75]

Bonjour à tous,

 

J'ai récemment installé webmediaplayer qui m'a infecté avec un rootkit (je pense) qui ouvre des fenêtres intempestives venant de fp.pc-on-internet.com indépendamment de la navigation sur le Web (publicités, etc.).

 

J'ai lancé hijackthis et navilog1.

 

Je vous transmets ci-dessous les rapports car je ne veux pas me lancer dans la désinfection sans aide

 

********************************************************************************

*******************

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:15:01, on 11/03/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Le Robert\Le Petit Robert\PRHYPER.EXE

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\VirtuaWin\VirtuaWin.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\VirtuaWin\modules\VWAssigner.exe

C:\Program Files\VirtuaWin\modules\WinList.exe

C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE

C:\Users\Olivier\AppData\Local\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE

C:\Windows\system32\SearchProtocolHost.exe

C:\Users\Olivier\Desktop\ADMIN\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\Windows\system32\BhoECart.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand201013011.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [eCarteBleue-CLEO] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe" /dontopenmycards

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Users\Olivier\AppData\Local\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun

O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: SDL Trados 2007 Speed Launcher.lnk = C:\Program Files\SDL International\SDL Trados Synergy 2007\Synergy.exe

O4 - Global Startup: VirtuaWin.lnk = C:\Program Files\VirtuaWin\VirtuaWin.exe

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab

O16 - DPF: {A06BE318-C096-11D4-964F-0010A4D06F69} (TeleTVA Control) - https://tva.dgi.minefi.gouv.fr/activeX/TeleTVA.tva

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15033/CTPID.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NewServiceInstall1 - Unknown owner - C:\Program.exe (file missing)

 

--

End of file - 8440 bytes

********************************************************************************

*************************************************

 

et le rapport de NAVILOG1 (choix 1) :

 

 

********************************************************************************

**************************************************

Search Navipromo version 3.5.0 commencé le 11/03/2008 à 17:49:26,02

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

 

Microsoft Windows Vista 6.0.6000

Internet Explorer : 7.0.6000.16609

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

*** Recherche dossiers dans C:\Windows ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

*** Recherche dossiers dans C:\ProgramData ***

 

 

*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

 

 

*** Recherche dossiers dans c:\users\olivier\appdata\roaming\microsoft\windows\start menu\programs ***

 

 

*** Recherche dossiers dans C:\Users\Olivier\AppData\Local\virtualstore\Program Files ***

 

 

 

*** Recherche dossiers dans C:\Users\Olivier\AppData\Roaming ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Fichier(s) caché(s) :

 

C:\Users\Olivier\AppData\Local\cafheaxow.dat

C:\Users\Olivier\AppData\Local\cafheaxow.exe

C:\Users\Olivier\AppData\Local\cafheaxow_nav.dat

C:\Users\Olivier\AppData\Local\cafheaxow_navps.dat

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\Windows\system32 *

 

* Recherche dans C:\Users\Olivier\AppData\Local\Microsoft *

 

* Recherche dans C:\Users\Olivier\AppData\Local *

 

Fichiers suspects :

 

cafheaxow.exe trouvé !

cafheaxow.dat trouvé !

cafheaxow_nav.dat trouvé !

cafheaxow_navps.dat trouvé !

 

 

 

*** Recherche fichiers ***

 

 

C:\Windows\system32\nvs2.inf trouvé !

C:\Windows\prefetch\WEBMEDIAPLAYER.EXE-D4ACCDE5.pf trouvé !

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\Windows\system32 :

 

 

* Dans C:\Users\Olivier\AppData\Local\Microsoft :

 

 

* Dans C:\Users\Olivier\AppData\Local :

 

cafheaxow.dat trouvé !

cafheaxow_nav.dat trouvé !

cafheaxow_navps.dat trouvé !

rosotptq_navtmp.dat trouvé !

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat OOO-Favorit trouvé !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 11/03/2008 à 17:56:03,22 ***

********************************************************************************

******************************************

 

Merci à tous pour votre aide,

Zoliv

Modifié le 15 mars 2008 par zoliv75

[Thanos]

salut

 

Tu as utilisé le bon outil pour éliminer l'adware Magic Control Agent

 

Voici la suite >

 

Si ce n'est déjà fait, commence par désactiver l'UAC le temps de la désinfection comme indiqué ici > http://www.google.fr/url?sa=t&client=p...NIWfJdETjpNsBvg

 

1) Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

• Au menu principal, choisis 2 et valide.
  
• Le fix va t'informer qu'il va alors redémarrer ton PC
  
• Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
  
• Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même
  
• Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message :

  *** Nettoyage Termine le ..... ***

• Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver.
  
• Referme le bloc note. Ton bureau va réapparaitre
  

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Si tu ne trouve pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

2) Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@+

[bouchon751]

Salut j'ai le même souci que mon collègue et je vous transmet mon rapport Navilog1 et Hijackthis avant de faire une quelconque désinfection automatique comme cela est conseillé avant le regard d'un pro

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:56:52, on 2008-03-11

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe

C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Windows\System32\msnqp.exe

C:\Windows\System32\wnpnl.exe

C:\Windows\vVX3000.exe

C:\Program Files\SiteAdvisor\6253\SiteAdv.exe

C:\Program Files\McAfee.com\Agent\mcagent.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Users\bestbuy\AppData\Local\ioqhre.exe

C:\Program Files\HP Connections\6811507\Program\HP Connections.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\system32\conime.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\taskeng.exe

C:\Windows\notepad.exe

C:\Program Files\Windows Live\Mail\wlmail.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [synTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Health Check Scheduler] "C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe"

O4 - HKLM\..\Run: [WAWifiMessage] "C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] "C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [MSNQP] C:\WINDOWS\system32\msnqp.exe

O4 - HKLM\..\Run: [WNPNL] C:\WINDOWS\system32\wnpnl.exe

O4 - HKLM\..\Run: [VX3000] C:\Windows\vVX3000.exe

O4 - HKLM\..\Run: [siteAdvisor] "C:\Program Files\SiteAdvisor\6253\SiteAdv.exe"

O4 - HKLM\..\Run: [CnxDslTaskBar] "CnxDslTb.exe" "Conexant\AccessRunner ADSL"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey

O4 - HKLM\..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [RunSpySweeperScheduleAtStartup] "C:\Program Files\Hewlett-Packard\SDP\Ceement\HPCEE.exe" /ScheduleSweep=HPCeeScheduleForbestbuy

O4 - HKCU\..\Run: [iSUSPM Startup] "C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" -startup

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ioqhre] c:\users\bestbuy\appdata\local\ioqhre.exe ioqhre

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Connexions HP.lnk = C:\Program Files\HP Connections\6811507\Program\HP Connections.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O15 - Trusted Zone: http://*.mcafee.com

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AddFiltr - Unknown owner - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe (file missing)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\common files\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program Files\SiteAdvisor\6253\SAService.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: System Process Monitor (sysprcm) - Comvigo, Inc. - C:\Windows\System32\msnprcss.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

O23 - Service: Asynchronous Load Balance (ySvcHst) - Comvigo, Inc. - C:\Windows\System32\srvnst.exe

 

--

End of file - 9968 bytes

 

 

Et voici celle de Navilog 1

 

Search Navipromo version 3.5.0 commencé le 2008-03-11 à 20:24:37,63

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

 

Microsoft Windows Vista 6.0.6000

Internet Explorer : 7.0.6000.16609

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\Windows ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

*** Recherche dossiers dans C:\ProgramData ***

 

 

*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

 

 

*** Recherche dossiers dans c:\users\bestbuy\appdata\roaming\microsoft\windows\start menu\programs ***

 

 

*** Recherche dossiers dans C:\Users\bestbuy\AppData\Local\virtualstore\Program Files ***

 

...\InternetGameBox trouvé !

 

 

*** Recherche dossiers dans C:\Users\bestbuy\AppData\Roaming ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Fichier(s) caché(s) :

 

C:\Users\bestbuy\AppData\Local\ioqhre.dat

C:\Users\bestbuy\AppData\Local\ioqhre.exe

C:\Users\bestbuy\AppData\Local\ioqhre_nav.dat

C:\Users\bestbuy\AppData\Local\ioqhre_navps.dat

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\Windows\system32 *

 

* Recherche dans C:\Users\bestbuy\AppData\Local\Microsoft *

 

* Recherche dans C:\Users\bestbuy\AppData\Local\virtualstore\windows\system32 *

 

* Recherche dans C:\Users\bestbuy\AppData\Local *

 

Fichiers suspects :

 

ioqhre.exe trouvé !

ioqhre.dat trouvé !

ioqhre_nav.dat trouvé !

ioqhre_navps.dat trouvé !

 

 

 

*** Recherche fichiers ***

 

 

C:\Windows\system32\nvs2.inf trouvé !

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\Windows\system32 :

 

 

* Dans C:\Users\bestbuy\AppData\Local\Microsoft :

 

 

* Dans C:\Users\bestbuy\AppData\Local\virtualstore\windows\system32 :

 

 

* Dans C:\Users\bestbuy\AppData\Local :

 

ioqhre.dat trouvé !

ioqhre_nav.dat trouvé !

ioqhre_navps.dat trouvé !

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat OOO-Favorit trouvé !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 2008-03-11 à 20:37:10,56 ***

 

 

En espérant résoudre ce problème car j'avoue que cela me fait un peu souci

[zoliv75]

Merci beaucoup pour cette réponse rapide.

 

J'ai donc utilisé navilog1 choix 2.

 

Tout s'est bien passé : visiblement tous les fichiers "bizarres" ont été détruits :

 

----------------------------------------------------------------------------------------

Clean Navipromo ver

s

ion 3.5.0 commenc

é

le 11/03/2008

à

21:34:02,59

 

Outil ex

é

cut

é

depui

s

C:\Program File

s

\navilog1

Mi

s

e

à

jour le 04.03.2008

à

17h00 par IL-MAFIO

S

O

 

Micro

s

oft Window

s

Vi

s

ta 6.0.6000

Internet Explorer : 7.0.6000.16609

S

y

s

t

è

me de fichier

s

: NTF

S

 

Mode

s

uppre

s

s

ion automatique

avec pri

s

e en charge r

é

s

ultat

s

Catchme et GN

S

 

 

*** Creation bac

k

up

s

fichier

s

trouv

é

s

par Catchme ***

 

Copie ver

s

"C:\Program File

s

\navilog1\Bac

k

upnavi"

 

Copie C:\U

s

er

s

\Olivier\AppData\Local\cafheaxow.dat r

é

ali

s

é

e avec

s

ucc

è

s

!

Copie C:\U

s

er

s

\Olivier\AppData\Local\cafheaxow.exe r

é

ali

s

é

e avec

s

ucc

è

s

!

Copie C:\U

s

er

s

\Olivier\AppData\Local\cafheaxow_nav.dat r

é

ali

s

é

e avec

s

ucc

è

s

!

Copie C:\U

s

er

s

\Olivier\AppData\Local\cafheaxow_navp

s

.dat r

é

ali

s

é

e avec

s

ucc

è

s

!

 

***

S

uppre

s

s

ion de

s

fichier

s

trouv

é

s

avec Catchme ***

 

C:\U

s

er

s

\Olivier\AppData\Local\cafheaxow.dat

s

upprim

é

!

C:\U

s

er

s

\Olivier\AppData\Local\cafheaxow.exe

s

upprim

é

!

C:\U

s

er

s

\Olivier\AppData\Local\cafheaxow_nav.dat

s

upprim

é

!

C:\U

s

er

s

\Olivier\AppData\Local\cafheaxow_navp

s

.dat

s

upprim

é

!

 

** 2

è

me pa

s

s

age avec r

é

s

ultat

s

Catchme **

 

* Dan

s

C:\Window

s

\

s

y

s

tem32 *

 

 

* Dan

s

C:\U

s

er

s

\Olivier\AppData\Local\Micro

s

oft *

 

 

* Dan

s

C:\U

s

er

s

\Olivier\AppData\Local *

 

 

***

S

uppre

s

s

ion avec

s

auvegarde

s

r

é

s

ultat

s

GenericNavi

S

earch ***

 

*

S

uppre

s

s

ion dan

s

C:\Window

s

\

S

y

s

tem32 *

 

 

*

S

uppre

s

s

ion dan

s

C:\U

s

er

s

\Olivier\AppData\Local\Micro

s

oft *

 

 

*

S

uppre

s

s

ion dan

s

C:\U

s

er

s

\Olivier\AppData\Local *

 

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\Window

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\Program File

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\ProgramData ***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\ProgramData\Micro

s

oft\Window

s

\

S

tart Menu\Program

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

c:\u

s

er

s

\olivier\appdata\roaming\micro

s

oft\window

s

\

s

tart menu\program

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\U

s

er

s

\Olivier\AppData\Local\virtual

s

tore\Program File

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\U

s

er

s

\Olivier\AppData\Roaming ***

 

 

 

***

S

uppre

s

s

ion fichier

s

***

 

C:\Window

s

\

s

y

s

tem32\nv

s

2.inf

s

upprim

é

!

C:\Window

s

\prefetch\WEBMEDIAPLAYER.EXE-D4ACCDE5.pf

s

upprim

é

!

 

***

S

uppre

s

s

ion fichier

s

temporaire

s

***

 

Nettoyage contenu C:\Window

s

\Temp effectu

é

!

Nettoyage contenu C:\U

s

er

s

\Olivier\AppData\Local\Temp effectu

é

!

 

*** Traitement Recherche compl

é

mentaire ***

(Recherche fichier

s

s

p

é

cifique

s

)

 

1)

S

uppre

s

s

ion avec

s

auvegarde

s

nouveaux fichier

s

In

s

tant Acce

s

s

:

 

2)Recherche, cr

é

ation

s

auvegarde

s

et

s

uppre

s

s

ion Heuri

s

tique :

 

 

* Dan

s

C:\Window

s

\

s

y

s

tem32 *

 

 

* Dan

s

C:\U

s

er

s

\Olivier\AppData\Local\Micro

s

oft *

 

 

* Dan

s

C:\U

s

er

s

\Olivier\AppData\Local *

 

ro

s

otptq_navtmp.dat trouv

é

!

Copie ro

s

otptq_navtmp.dat r

é

ali

s

é

e avec

s

ucc

è

s

!

ro

s

otptq_navtmp.dat

s

upprim

é

!

 

 

***

S

auvegarde du Regi

s

tre ver

s

do

s

s

ier Bac

k

upnavi ***

 

s

auvegarde du Regi

s

tre r

é

ali

s

é

e avec

s

ucc

è

s

!

 

*** Nettoyage Regi

s

tre ***

 

Nettoyage Regi

s

tre O

k

 

 

*** Certificat

s

***

 

Certificat Egroup

s

upprim

é

!

Certificat Electronic-Group

s

upprim

é

!

Certificat OOO-Favorit

s

upprim

é

!

 

*** Nettoyage termin

é

le 11/03/2008

à

21:37:16,88 ***

 

---------------------------------------------------------------------------------------------------

 

Pour l'instant je n'ai plus de popup intempestif. OUF ! :P

 

 

J'ai aussi passé KASPERSKY comme tu le proposais : rien à signaler, aucun virus trouvé (j'ai Avira Antivir activé en permanence, ça a dû m'éviter pas mal d'autres problèmes).

 

 

Un grand merci vraiment. C'était un vrai cauchemar.

 

 

Une petite dernière question : j'utilisais avant sous XP le firewall KERIO que je trouvais vraiment bien. Y a-t-il quelque chose d'équivalent avec Vista (parce que j'ai l'impression quel le Firewall de Vista laisse passer beaucoup de choses... - ou alors je ne sais pas le paramétrer...) ?

 

 

Merci encore pour ton aide !

Olivier

[zoliv75]

Bonjour,

 

Attention à propos de ce rootkit : il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute.

 

J'ai donc exécuté la procédure sur tous mes comptes utilisateurs après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas).

 

Voilà, j'espère que cette petite info m'aura permis d'apporter une petite aide à la communauté Zebulon qui m'a bien aidé sur ce coup là.

 

Merci,

Olivier

[IL-MAFIOSO]

Bonjour à tous,

 

Que de passage

 

Attention à propos de ce rootkit : il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute

Navilog1 via Catchme scanne tout le disque quel que soit la session. Le rootkit se trouvait bien dans la session "Olivier". Concernant le nettoyage, il est orienté sur la session infecté par le rootkit. Par contre, j'aimerais savoir comme tu l'as passé sur toutes tes sessions si Navilog1 avait retrouvé des fichiers comme ceux trouvés sur la session d'Olivier.

[zoliv75]

Bonjour,

 

Dans le rapport de Navilog1, on voit que les fichiers détectés étaient situés (en partie) dans C:\Users\Olivier\ (Olivier est mon compte administrateur sous Vista).

 

Or j'ai aussi d'autres utilisateurs. Par exemple C:\Users\Olivier perso\

 

L'utilisateur "Olivier perso" n'avait pas été nettoyé et les fenêtres intempestives apparaissaient toujours dans ce compte.

 

J'ai donc dû répéter la procédure et Navilog1 a bien trouvé de nouveaux fichiers infectés dans C:\Users\Olivier perso\. Etc., etc. pour tous mes utilisateurs...

 

Ca n'est pas classique comme comportement ?

 

A+

Olivier

[IL-MAFIOSO]

Bonjour zoliv75,

 

Ca n'est pas classique comme comportement ?

Non car normalement le rootkit est droppé dans la session qui a installé un des programmes foireux comme Messengerskinner, Mailskinner, Sudoku, InternetGamebox,.....

 

Dans ton cas, de + sous Vista, ce serait comme si chaque session a installé un de ces programmes.

Si tu as nettoyé les autres sessions, tu devrais trouver encore un rapport cleannavi.txt qui correspond à la dernière session nettoyé, qui ne doit pas être celle de Olivier. Peux-tu poster ce rapport ?

 

Ensuite mon intervention s'arrêtera là.

 

Continue les instructions données par Thanos et bonne continuation à vous deux.

 

@ +

[zoliv75]

Bonjour,

 

 

Voici le rapport de navilog1 après nettoyage sur le compte utilisateur "Olivier perso" :

 

----------------------------------------------------------------------------------------------------

 

Clean Navipromo ver

s

ion 3.5.0 commenc

é

le 12/03/2008

à

9:40:24,82

 

Outil ex

é

cut

é

depui

s

C:\Program File

s

\navilog1

Mi

s

e

à

jour le 04.03.2008

à

17h00 par IL-MAFIO

S

O

 

Micro

s

oft Window

s

Vi

s

ta 6.0.6000

Internet Explorer : 7.0.6000.16609

S

y

s

t

è

me de fichier

s

: NTF

S

 

Mode

s

uppre

s

s

ion automatique

avec pri

s

e en charge r

é

s

ultat

s

Catchme et GN

S

 

 

*** Creation bac

k

up

s

fichier

s

trouv

é

s

par Catchme ***

 

Copie ver

s

"C:\Program File

s

\navilog1\Bac

k

upnavi"

 

Copie C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\qxqfigm.dat r

é

ali

s

é

e avec

s

ucc

è

s

!

Copie C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\qxqfigm.exe r

é

ali

s

é

e avec

s

ucc

è

s

!

Copie C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\qxqfigm_nav.dat r

é

ali

s

é

e avec

s

ucc

è

s

!

Copie C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\qxqfigm_navp

s

.dat r

é

ali

s

é

e avec

s

ucc

è

s

!

 

***

S

uppre

s

s

ion de

s

fichier

s

trouv

é

s

avec Catchme ***

 

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\qxqfigm.dat

s

upprim

é

!

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\qxqfigm.exe

s

upprim

é

!

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\qxqfigm_nav.dat

s

upprim

é

!

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\qxqfigm_navp

s

.dat

s

upprim

é

!

 

** 2

è

me pa

s

s

age avec r

é

s

ultat

s

Catchme **

 

* Dan

s

C:\Window

s

\

s

y

s

tem32 *

 

 

* Dan

s

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\Micro

s

oft *

 

 

* Dan

s

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local *

 

 

***

S

uppre

s

s

ion avec

s

auvegarde

s

r

é

s

ultat

s

GenericNavi

S

earch ***

 

*

S

uppre

s

s

ion dan

s

C:\Window

s

\

S

y

s

tem32 *

 

 

*

S

uppre

s

s

ion dan

s

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\Micro

s

oft *

 

 

*

S

uppre

s

s

ion dan

s

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local *

 

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\Window

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\Program File

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\ProgramData ***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\ProgramData\Micro

s

oft\Window

s

\

S

tart Menu\Program

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

c:\u

s

er

s

\olivier per

s

o\appdata\roaming\micro

s

oft\window

s

\

s

tart menu\program

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\virtual

s

tore\Program File

s

***

 

 

***

S

uppre

s

s

ion do

s

s

ier

s

dan

s

C:\U

s

er

s

\Olivier Per

s

o\AppData\Roaming ***

 

 

 

***

S

uppre

s

s

ion fichier

s

***

 

 

***

S

uppre

s

s

ion fichier

s

temporaire

s

***

 

Nettoyage contenu C:\Window

s

\Temp effectu

é

!

Nettoyage contenu C:\U

s

er

s

\OLIVIE~2\AppData\Local\Temp effectu

é

!

 

*** Traitement Recherche compl

é

mentaire ***

(Recherche fichier

s

s

p

é

cifique

s

)

 

1)

S

uppre

s

s

ion avec

s

auvegarde

s

nouveaux fichier

s

In

s

tant Acce

s

s

:

 

2)Recherche, cr

é

ation

s

auvegarde

s

et

s

uppre

s

s

ion Heuri

s

tique :

 

 

* Dan

s

C:\Window

s

\

s

y

s

tem32 *

 

 

* Dan

s

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local\Micro

s

oft *

 

 

* Dan

s

C:\U

s

er

s

\Olivier Per

s

o\AppData\Local *

 

 

***

S

auvegarde du Regi

s

tre ver

s

do

s

s

ier Bac

k

upnavi ***

 

s

auvegarde du Regi

s

tre r

é

ali

s

é

e avec

s

ucc

è

s

!

 

*** Nettoyage Regi

s

tre ***

 

Nettoyage Regi

s

tre O

k

 

 

*** Certificat

s

***

 

Certificat Egroup

s

upprim

é

!

Certificat Electronic-Group

s

upprim

é

!

Certificat OOO-Favorit

s

upprim

é

!

 

*** Nettoyage termin

é

le 12/03/2008

à

9:43:10,07 ***

 

--------------------------------------------------------------------------------------------------

 

Une chose est certaine : je n'ai installé le programme (webmediaplayer) qu'une seule fois, mais je l'ai utilisé dans tous mes comptes utilisateurs.

 

Merci bien,

Olivier

[Thanos]

salut,

 

Merci @ IL-MAFIOSO pour son intervention

et merci @ toi zoliv75 pour avoir fait remonter l'info concernant les différents profils

Ta session Olivier Perso est désinfectée d'après le rapport que tu as posté.

On va pouvoir continuer comme ceci >

 

1) Va dans le menu Démarrer > Executer et tape : services.msc

 

Cherche le service suivant: NewServiceInstall1 et double clique dessus:

-dans le champs "Status du service" sélectionne "arrêté"

-dans le champs "Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok"

 

Quitte les services.

 

2) Ouvre Hijackthis et clique sur "Open the misc tools section"=> puis "Delete an NT service".

• la fenêtre "Delete a Windows NT service" va s'ouvrir
  
• Dans la fenêtre qui s'ouvre, copie/colle ceci => NewServiceInstall1
  
  Note : assure-toi de ne pas mettre d'espace avant le nom du service que tu as copié/collé dans le champs.
  
  
• clique sur OK
  
• Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
  
• Cliquer sur YES
  

Le pc devrait redémarrer : une fois ceci fait démarre Hijackthis, clique sur "Do a system scan only", et coche les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Poste un nouveau rapport hijackthis après ca.

Une petite dernière question : j'utilisais avant sous XP le firewall KERIO que je trouvais vraiment bien. Y a-t-il quelque chose d'équivalent avec Vista (parce que j'ai l'impression quel le Firewall de Vista laisse passer beaucoup de choses... - ou alors je ne sais pas le paramétrer...) ?

Voici des infos sur le pare-feu de Vista, mais elles datent un peu... > http://www.microsoft.com/france/technet/co...cg0106.mspx#EBE

Si tu veux, tu peux aussi utiliser Zone Alarm par ex, qui est compatible Vista >

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Note destinée à bouchon751 > Il faut que tu crée un sujet pour toi afin de ne pas mélanger les procédures/réponses. Pour celà, clique sur Nouveau en haut à droite de cette page > http://forum.zebulon.fr/index.php?showforum=51

Donne un titre à ton sujet, et reproduit ton message, un membre de l'Equipe (ou moi-même) te donnera un coup de main

Modifié le 13 mars 2008 par Thanos