Problèmes détectés: win32trojano-1165 et autres

[sous douée de l'ordi]

Pear,

 

Comme vous pouvez le constater, vous pouvez consulter les rapports.

Lors de l'action de l'option1 - recherche, une fenêtre m'a indiqué que mon ordi est infecté par win32/zlob.gen123.

 

Nous verrons la suite demain. Passez une bonne soirée.

 

Un grand merci pour votre collaboration.

Modifié le 19 décembre 2008 par sous douée de l'ordi

[pear]

Bonjour,

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[sous douée de l'ordi]

Bonsoir Pear,

 

Après 5 heures d'analyse, voici le rapport

 

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1525

Windows 5.1.2600 Service Pack 3

 

20/12/2008 20:00:44

mbam-log-2008-12-20 (20-00-44).txt

 

Type de recherche: Examen complet (C:\|D:\|F:\|)

Eléments examinés: 176085

Temps écoulé: 5 hour(s), 25 minute(s), 38 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

D:\Documents and Settings\LocalService.AUTORITE NT\Application Data\NetMon (Trojan.NetMon) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

D:\Documents and Settings\NEHR\Local Settings\Application Data\ddutlkb_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

D:\Documents and Settings\NEHR\Local Settings\Application Data\ddutlkb_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

D:\Documents and Settings\NEHR\Local Settings\Application Data\ddutlkb.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

D:\Documents and Settings\NEHR ALEKSANDRA\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.

D:\Documents and Settings\LocalService.AUTORITE NT\Application Data\NetMon\domains.txt (Trojan.NetMon) -> Quarantined and deleted successfully.

D:\Documents and Settings\LocalService.AUTORITE NT\Application Data\NetMon\log.txt (Trojan.NetMon) -> Quarantined and deleted successfully.

 

 

 

 

 

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1525

Windows 5.1.2600 Service Pack 3

 

20/12/2008 20:00:24

mbam-log-2008-12-20 (20-00-13).txt

 

Type de recherche: Examen complet (C:\|D:\|F:\|)

Eléments examinés: 176085

Temps écoulé: 5 hour(s), 25 minute(s), 38 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\RegistrySmart (Rogue.RegistrySmart) -> No action taken.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

D:\Documents and Settings\LocalService.AUTORITE NT\Application Data\NetMon (Trojan.NetMon) -> No action taken.

 

Fichier(s) infecté(s):

D:\Documents and Settings\NEHR\Local Settings\Application Data\ddutlkb_navps.dat (Adware.Navipromo.H) -> No action taken.

D:\Documents and Settings\NEHR\Local Settings\Application Data\ddutlkb_nav.dat (Adware.Navipromo.H) -> No action taken.

D:\Documents and Settings\NEHR\Local Settings\Application Data\ddutlkb.dat (Adware.Navipromo.H) -> No action taken.

D:\Documents and Settings\NEHR ALEKSANDRA\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> No action taken.

D:\Documents and Settings\LocalService.AUTORITE NT\Application Data\NetMon\domains.txt (Trojan.NetMon) -> No action taken.

D:\Documents and Settings\LocalService.AUTORITE NT\Application Data\NetMon\log.txt (Trojan.NetMon) -> No action taken.

 

En attente du diagnotic docteur....

[pear]

Bonjour,

 

Votre second rapport est en fait le premier, avant désinfection,à 20h00.13

l'autre est après désinfection à 20h00.44.

Tout est nettoyé dans les limites des capacités du logiciel.

 

Je voudrais quelques précisions, svp:

Qu'avez vous planifié ici?

Poste de travail->Tâches planifiées:

 

C:\WINDOWS\tasks\Rappel d'enregistrement 3.job

C:\WINDOWS\tasks\RegistrySmart Scheduled Scan.job

C:\WINDOWS\tasks\Scheduled scanning task.job

 

Rendez vous à cette addresse:

http://www.virustotal.com/fr/

 

Cliquez sur parcourir pour trouver ce fichier, en gras:

E:\AUTORUN\AUTORUN.EXE

et cliquez sur "envoyer le fichier"

 

Copiez /collez la réponse dans votre prochain message.

 

 

Donnez des nouvelles de votre machine.et lancez un hijackthis, svp.

Modifié le 21 décembre 2008 par pear

[sous douée de l'ordi]

Bonjour Pear,

 

je ne peux pas envoyer le fichier mon outlook ne veut pas s'ouvrir mais je pense pouvoir vous donner la réponse.

E: est mon lecteur de cd => il y avait le cd d'installation office97.

 

Mon ami l'a installé car il avait besoin de power point (car lorsque j'ai acheté l'ordi, je n'avais pas ce genre de logiciel)

En regardant la pochette de office 97, je vois que c'est compatible avec NT mais moi je suis XP.... Cela pose -t-il un problème?

 

J'ai tenté d'ouvrir mon lecteur windows media player mais de nouveau la fenêtre "wmplayer.exe a rencontré un problème et doit fermé..." et du coup je ne peux lire mes musiques.

[sous douée de l'ordi]

Pear,

 

Si j'ai bien compris, vous attendez ce rapport

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:08:57, on 21/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe

C:\Program Files\Pack Securite\Common\FSMA32.EXE

C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Pack Securite\Common\FSMB32.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Pack Securite\Common\FCH32.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe

C:\Program Files\Pack Securite\Common\FAMEH32.EXE

C:\Program Files\Pack Securite\FSPC\fspc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe

C:\Apps\Powercinema\PCMService.exe

C:\apps\ABoard\ABoard.exe

C:\Program Files\QuickTime\qttask.exe

C:\apps\ABoard\AOSD.exe

C:\Program Files\Pack Securite\Common\FSM32.EXE

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Pack Securite\FSGUI\fsguidll.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Fichiers communs\Goto Software\Vaderetro_Mgr.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\OFFICE One6.5\program\soffice.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe

C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe

C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Pack Securite\FSAUA\program\fsus.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe

C:\Program Files\Adobe Media Player\Adobe Media Player.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\karcher\hijackthis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe

O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VadeRetro Outlook] C:\Program Files\Goto Software\Vade Retro\VrMoRegister.exe -s

O4 - HKLM\..\Run: [VRManager] C:\Program Files\Fichiers communs\Goto Software\Vaderetro_Mgr.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [RegistryBooster 2 d’Uniblue ] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OFFICE One 6.5.lnk = C:\Program Files\OFFICE One6.5\program\quickstart.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll

O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.1...toUploader5.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe

O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

 

--

End of file - 12170 bytes

[pear]

En regardant la pochette de office 97, je vois que c'est compatible avec NT mais moi je suis XP.... Cela pose -t-il un problème?

 

Pas de problème , en principe puisque Xp est une évolution de Nt.

 

Vous n'avez pas répondu à ceci:

Qu'avez vous planifié ici?

Poste de travail->Tâches planifiées:

 

C:\WINDOWS\tasks\Rappel d'enregistrement 3.job

C:\WINDOWS\tasks\RegistrySmart Scheduled Scan.job

C:\WINDOWS\tasks\Scheduled scanning task.job

 

Je vous conseille vivement de désinstaller C:\Program Files\Uniblue\RegistryBooster 2 après l'avoir désactivé dans la zone de notification, près de l'horloge.

Modifié le 21 décembre 2008 par pear

[sous douée de l'ordi]

Pear,

 

Eant nul de chez nul, pour moi, je n'ai rien plannifier mais en me rendant dans le dossier tasks je constate en effet ces 3 situations.

Je n'y comprends rien......je vous indique les propriétées de chaque.... peut-être ainsi vuscomprendrez

 

Pour:

C:\WINDOWS\tasks\Rappel d'enregistrement 3.job

=>C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /r /n:3

 

Pour:

C:\WINDOWS\tasks\RegistrySmart Scheduled Scan.job

=>"C:\Program Files\RegistrySmart\RegistrySmart.exe" scheduled

=>Runs RegistrySmart to optimize your registry.

 

Pour:

C:\WINDOWS\tasks\Scheduled scanning task.job

=>C:\PROGRA~1\PACKSE~1\ANTI-V~1\fsav.exe /HARD /POLICY /SCHED /NOBREAK /REPORT=C:\PROGRA~1\PACKSE~1\ANTI-V~1\report.txt

=> Tâche ajoutée par F-Secure Anti-Virus.

 

 

Pour:

C:\Program Files\Uniblue\RegistryBooster 2

=> je veux bien le désinstaller mais je ne le trouve pas.

[pear]

Bonjour,

 

Quel est votre fournisseur d'accès à internet?

Je vois Aol et Neuf!

 

 

Dans Hijackthis,cochez ces lignes puis clic sur Fix checked

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE => Realtek®Avance Logic Sound

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe => Microsoft®Windows NT

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Startup: OFFICE One 6.5.lnk = C:\Program Files\OFFICE One6.5\program\quickstart.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - HKCU\..\Run: [RegistryBooster 2 d’Uniblue ] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

 

 

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

 

:Files

D:\Documents and Settings\NEHR ALEKSANDRA\Application Data\Uniblue

C:\WINDOWS\tasks\RegistrySmart Scheduled Scan.job

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\OFFICE One6.5\program\soffice.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

 

:Reg

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3f1bba8-25a3-11dd-a3d0-806d6172696f}]

 

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

 

Ensuite, postez un nouvel Hijackthis, svp

[sous douée de l'ordi]

Bonjour Pear,

 

Pour internet: Lorsque j'i acheté l'ordi, AOL était installé mais je fonctionne avec neuf.

 

 

Voci le rapport de OTMoveIt3 by OldTimer sans avoir cocher les lignes que vous m'avez demandé

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

D:\Documents and Settings\NEHR ALEKSANDRA\Application Data\Uniblue\Registry Booster2 moved successfully.

D:\Documents and Settings\NEHR ALEKSANDRA\Application Data\Uniblue moved successfully.

C:\WINDOWS\tasks\RegistrySmart Scheduled Scan.job moved successfully.

C:\WINDOWS\SOUNDMAN.EXE moved successfully.

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe moved successfully.

C:\Program Files\OFFICE One6.5\program\soffice.exe moved successfully.

C:\Program Files\QuickTime\qttask.exe moved successfully.

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe moved successfully.

C:\Program Files\Java\jre6\bin\jusched.exe moved successfully.

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe moved successfully.

File/Folder C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe not found.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3f1bba8-25a3-11dd-a3d0-806d6172696f}\\ deleted successfully.

========== COMMANDS ==========

File delete failed. D:\DOCUME~1\NEHRAL~1\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.

File delete failed. D:\DOCUME~1\NEHRAL~1\LOCALS~1\Temp\WCESCOMM.LOG scheduled to be deleted on reboot.

File delete failed. D:\DOCUME~1\NEHRAL~1\LOCALS~1\Temp\~DF50DF.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\nvcbin.def.6E73AF6C.TMP scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_3b0.dat scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_744.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12222008_141021

 

 

 

 

LORSQUE MON ORDI S'EST RALLUME IL M'A INDIQUE QUE:

D:/documents&settings/nehr n'est pas accessible..... Accès refusé

 

 

 

Je fais maintenant un nouvel Hijackthis

Modifié le 22 décembre 2008 par sous douée de l'ordi