virus

bububruno · le 24 octobre 2008

bonjour,

j'ai un pc portable qui est devenue subitement très lent,j'envoie mon rapport hijackthis,besoin d'un spécialiste

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:15:39, on 25/10/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\Explorer.exe

C:\Program Files\DNA\btdna.exe

C:\Windows\system32\conime.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:4343

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [oaicw] "c:\users\bruno\appdata\local\oaicw.exe" oaicw

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~4.0_0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~4.0_0\bin\ssv.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/dow...llerControl.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LiveMark Family (LiveMark) - Unknown owner - C:\Program Files\LiveMark\LiveMark.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe

O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--

End of file - 7901 bytes

j'ai déja passé avast,spybot,navilog,etmalwarebytes et toujours rien

j'ai une ligne qui apparait toujours dans ccleaner

c:\users\bruno\appdata\local\oaicw.exe*oaicw

imposible de la virer,je pense que le probleme est la et peut etre d'autre

possible vundo

merci d'avance pour l'aide

Apollo · le 24 octobre 2008

Bonsoir,

Poste le rapport de MBAM stp; il se trouve dans rapports/logs de l'interface de MBAM.

Désactive l'UAC dans Vista: http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

Fais un clic droit sur ce lien : Navilog1 Enregistre la cible (du lien) sous... et enregistre-le sur ton bureau.

Une fois l'installation terminée, fais un clic droit sur le raccourci navilog1 puis choisis "Exécuter en temps qu'administrateur" :

Laisse-toi guider. Au menu principal, choisis 1 et valide.
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Ne passe aucune autre option avant qu'on ne te le dise.

NB: si le scan bloque pendant son exécution, lance Navilog1 option 1 en mode sans échec.

@+

bububruno · le 25 octobre 2008

Bonsoir,

Poste le rapport de MBAM stp; il se trouve dans rapports/logs de l'interface de MBAM.

Désactive l'UAC dans Vista: http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

Fais un clic droit sur ce lien : Navilog1 Enregistre la cible (du lien) sous... et enregistre-le sur ton bureau.

Une fois l'installation terminée, fais un clic droit sur le raccourci navilog1 puis choisis "Exécuter en temps qu'administrateur" :

Laisse-toi guider. Au menu principal, choisis 1 et valide.
Patiente jusqu'au message : *** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.

Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Ne passe aucune autre option avant qu'on ne te le dise.

NB: si le scan bloque pendant son exécution, lance Navilog1 option 1 en mode sans échec.

@+

voici le rapport:

Clean Navipromo version 3.6.7 commencé le 24/10/2008 à 1:26:37,56

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "bruno"

Mise à jour le 22.10.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001

Internet Explorer : 7.0.6001.18000

Système de fichiers : NTFS

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *

* Suppression dans "C:\Users\bruno\AppData\Local\Microsoft" *

* Suppression dans "C:\Users\bruno\AppData\Local\virtualstore\windows\system32" *

* Suppression dans "C:\Users\bruno\AppData\Local" *

*** Suppression dossiers dans "C:\Windows" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Suppression dossiers dans "C:\ProgramData" ***

*** Suppression dossiers dans c:\users\bruno\appdata\roaming\micros~1\windows\startm~1\programs ***

*** Suppression dossiers dans "C:\Users\bruno\AppData\Local\virtualstore\Program Files" ***

*** Suppression dossiers dans "C:\Users\bruno\AppData\Roaming" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !

Nettoyage contenu C:\Users\bruno\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\Windows\system32" *

* Dans "C:\Users\bruno\AppData\Local\Microsoft" *

* Dans "C:\Users\bruno\AppData\Local\virtualstore\windows\system32" *

* Dans "C:\Users\bruno\AppData\Local" *

cssyuiy.exe trouvé !

Copie cssyuiy.exe réalisée avec succès !

cssyuiy.exe supprimé !

cssyuiy.dat trouvé !

Copie cssyuiy.dat réalisée avec succès !

cssyuiy.dat supprimé !

cssyuiy_nav.dat trouvé !

Copie cssyuiy_nav.dat réalisée avec succès !

cssyuiy_nav.dat supprimé !

cssyuiy_navps.dat trouvé !

Copie cssyuiy_navps.dat réalisée avec succès !

cssyuiy_navps.dat supprimé !

C:\Windows\prefetch\cssyuiy*.pf trouvé !

Copie C:\Windows\prefetch\cssyuiy*.pf réalisée avec succès !

C:\Windows\prefetch\cssyuiy*.pf supprimé !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1311

Windows 6.0.6001 Service Pack 1

24/10/2008 08:13:10

mbam-log-2008-10-24 (08-13-10).txt

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 138920

Temps écoulé: 1 hour(s), 37 minute(s), 6 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 9

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

[10/24/2008, 18:07:25] - VirtumundoBeGone v1.5 ( "C:\Users\bruno\Downloads\VirtumundoBeGone.exe" )

[10/24/2008, 18:07:36] - Detected System Information:

[10/24/2008, 18:07:36] - Windows Version: 6.0.6001, Service Pack 1

[10/24/2008, 18:07:37] - Current Username: bruno (Admin)

[10/24/2008, 18:07:37] - Windows is in NORMAL mode.

[10/24/2008, 18:07:37] - Searching for Browser Helper Objects:

[10/24/2008, 18:07:37] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)

[10/24/2008, 18:07:37] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)

[10/24/2008, 18:07:37] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()

[10/24/2008, 18:07:37] - WARNING: BHO has no default name. Checking for Winlogon reference.

[10/24/2008, 18:07:37] - No filename found. Continuing.

[10/24/2008, 18:07:37] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[10/24/2008, 18:07:37] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)

[10/24/2008, 18:07:37] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)

[10/24/2008, 18:07:37] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)

[10/24/2008, 18:07:37] - Finished Searching Browser Helper Objects

[10/24/2008, 18:07:37] - Finishing up...

[10/24/2008, 18:07:37] - Nothing found! Exiting...

[10/24/2008, 18:11:06] - VirtumundoBeGone v1.5 ( "C:\Users\bruno\Downloads\VirtumundoBeGone.exe" )

[10/24/2008, 18:11:08] - Detected System Information:

[10/24/2008, 18:11:08] - Windows Version: 6.0.6001, Service Pack 1

[10/24/2008, 18:11:08] - Current Username: bruno (Admin)

[10/24/2008, 18:11:08] - Windows is in NORMAL mode.

[10/24/2008, 18:11:08] - Searching for Browser Helper Objects:

[10/24/2008, 18:11:08] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)

[10/24/2008, 18:11:08] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)

[10/24/2008, 18:11:08] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()

[10/24/2008, 18:11:08] - WARNING: BHO has no default name. Checking for Winlogon reference.

[10/24/2008, 18:11:08] - No filename found. Continuing.

[10/24/2008, 18:11:08] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[10/24/2008, 18:11:08] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)

[10/24/2008, 18:11:08] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)

[10/24/2008, 18:11:08] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)

[10/24/2008, 18:11:08] - Finished Searching Browser Helper Objects

[10/24/2008, 18:11:08] - Finishing up...

[10/24/2008, 18:11:08] - Nothing found! Exiting...

voila 3 rapports merci pour ton aide

Apollo · le 25 octobre 2008

Re,

C'est quoi ces rapports?

Je t'ai demandé deux opérations:

l'option 1 de Navilog1 et Mbam dont j'ai demandé le rapport d'analyse.

Pour Navilog1 c'est ok mais avec quoi as-tu fait la recherche sur Vundo???

Prends l'habitude d'attendre les instructions stp.

@++

bububruno · le 25 octobre 2008

Re,

C'est quoi ces rapports?

Je t'ai demandé deux opérations:

l'option 1 de Navilog1 et Mbam dont j'ai demandé le rapport d'analyse.

Pour Navilog1 c'est ok mais avec quoi as-tu fait la recherche sur Vundo???

Prends l'habitude d'attendre les instructions stp.

@++

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1311

Windows 6.0.6001 Service Pack 1

24/10/2008 17:09:14

mbam-log-2008-10-24 (17-09-14).txt

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 135073

Temps écoulé: 23 minute(s), 12 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

rapport mbam

Apollo · le 25 octobre 2008

Re.

Lance Hijackthis en "do a system sv=can only " et coche cette case:

O4 - HKCU\..\Run: [oaicw] "c:\users\bruno\appdata\local\oaicw.exe" oaicw

Ferme les applications et le navigateur. Fix Checked.

Cherche et supprime ce qui est infiqué en gras:

C:\users\bruno\appdata\local\oaicw.exe

Affiche les dossiers/fichiers cachés pour le trouver:

http://www.vista-xp.fr/forum/topic16.html

Ton analyse MBAM date de 17 heures.

relance-en une avec ces instructions stp; désinstalle le tien.

Télécharge Malwarebytes' Anti-Malware (MBAM)

Provisoirement: avant d'enregistrer l'exécutable, renommer mbam-setup.exe en bubu-mb. Par exemple, je l'ai renommé comme ceci:

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

@++

PS: Je vais te demander de bien vouloir utiliser le bouton "Répondre" qui se trouve entre "Flash" et "Nouveau" stp, ceci afin de ne pas citer chaque fois le post précédent, ce sera plus clair. Merci.

bububruno · le 25 octobre 2008

Re.
Lance Hijackthis en "do a system sv=can only " et coche cette case:

O4 - HKCU\..\Run: [oaicw] "c:\users\bruno\appdata\local\oaicw.exe" oaicw

Ferme les applications et le navigateur. Fix Checked.

Cherche et supprime ce qui est infiqué en gras:

C:\users\bruno\appdata\local\oaicw.exe

Affiche les dossiers/fichiers cachés pour le trouver:

http://www.vista-xp.fr/forum/topic16.html

Ton analyse MBAM date de 17 heures.

relance-en une avec ces instructions stp; désinstalle le tien.

Télécharge Malwarebytes' Anti-Malware (MBAM)

Provisoirement: avant d'enregistrer l'exécutable, renommer mbam-setup.exe en bubu-mb. Par exemple, je l'ai renommé comme ceci:

Double clique sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.

Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".

Sélectionne "Exécuter un examen complet"

Clique sur "Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme tes navigateurs.

Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

@++

PS: Je vais te demander de bien vouloir utiliser le bouton "Répondre" qui se trouve entre "Flash" et "Nouveau" stp, ceci afin de ne pas citer chaque fois le post précédent, ce sera plus clair. Merci.

bububruno · le 25 octobre 2008

bonsoir apollo,

je n'ai pas trouver la ligne oaicw.exe

mëme en affichant les dossiers/fichiers cachés

j'ai fait ligne par ligne INTROUVABLE

voici les log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:56:57, on 25/10/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\conime.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157