Win32.Ranky-cn - Résolu (super l'aide sur Zebulon !)

Thanos · le 6 mars 2006

salut @ tous

heloise,ton pc est infecté, voici la procédure à suivre pour t'en débarrasser:

Note: ca à l'air long à faire ,mais c'est juste parce que c'est détaillé!

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Configuration Loader"=-
"Video Processor"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Configuration Loader"=-

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

-Télécharge EasyCleaner de Toni Helenius(installe le dans son dossier)

-Télécharge la version d'essai d'Ewido:ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.myclick2search.com/search/ie.html%s

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.fr.netscape.com/fr/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.fr.netscape.com/fr/home/winsearch200.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.fr.netscape.com/fr/home/winsearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.fr.netscape.com/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O4 - HKLM\..\RunServices: [winlogon] msi.exe

O4 - HKLM\..\RunServices: [Configuration Loader] WinSys32ys.exe

O4 - HKLM\..\RunServices: [Video Processor] msconfsys88.exe

O4 - HKCU\..\Run: [Configuration Loader] rlplyr.exe

O18 - Protocol: bw+0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: offline-8876480 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)

O23 - Service: Video Processor (VidPrcs) - Unknown owner - C:\WINNT\system32\msconfsys88.exe" -service (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

*Supprime les fichiers en gras dans C:\WINDOWS\System32:

C:\WINNT\system32\netdrvr.exe=> peut être absent, vérifie quand même!

C:\WINNT\system32\msconfsys88.exe=> même remarque

C:\WINNT\system32\WinSys32ys.exe

C:\WINNT\system32\rlplyr.exe

(si tu ne trouves pas ces fichiers lance une recherche des processus en les copiant/collant dans la fenêtre de l'assistant de recherche windows)

-Vide la corbeille.

*Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

*vas dans le menu démarrer executer et tu tapes : services.msc

Cherche le service suivant:Network DRV (NTDRV)

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Fais la même chose avec ce service=> Video Processor (VidPrcs)

Quitte les services.

Lancer Hijackthis, choisir Open the Misc.Tools section

cliquer sur Delete an NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

NTDRV

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

Recommence avec ce service=>VidPrcs

-Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

*Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

-Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find".Lorsque le scan est terminé,clique sur "Delete all".

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rappport de scan d'Ewido.

Pour ce fichier en gras , j'ai un doute(c'est certainement un malware!)=>

C:\WINNT\system32\msi.exe

Fais le analyser ici:

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

Modifié le 6 mars 2006 par charles ingals

heloise · le 6 mars 2006

salut @ tous

heloise,ton pc est infecté, voici la procédure à suivre pour t'en débarrasser:

Note: ca à l'air long à faire ,mais c'est juste parce que c'est détaillé!

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Configuration Loader"=-
"Video Processor"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Configuration Loader"=-
-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

-Télécharge EasyCleaner de Toni Helenius(installe le dans son dossier)

-Télécharge la version d'essai d'Ewido:ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.myclick2search.com/search/ie.html%s

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.fr.netscape.com/fr/home/winsearch.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.fr.netscape.com/fr/home/winsearch200.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.fr.netscape.com/fr/home/winsearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.fr.netscape.com/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O4 - HKLM\..\RunServices: [winlogon] msi.exe

O4 - HKLM\..\RunServices: [Configuration Loader] WinSys32ys.exe

O4 - HKLM\..\RunServices: [Video Processor] msconfsys88.exe

O4 - HKCU\..\Run: [Configuration Loader] rlplyr.exe

O18 - Protocol: bw+0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: offline-8876480 - {49062168-8F13-4A3B-A03D-74B1A8B280EF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)

O23 - Service: Video Processor (VidPrcs) - Unknown owner - C:\WINNT\system32\msconfsys88.exe" -service (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

*Supprime les fichiers en gras dans C:\WINDOWS\System32:

C:\WINNT\system32\netdrvr.exe=> peut être absent, vérifie quand même!

C:\WINNT\system32\msconfsys88.exe=> même remarque

C:\WINNT\system32\WinSys32ys.exe

C:\WINNT\system32\rlplyr.exe

(si tu ne trouves pas ces fichiers lance une recherche des processus en les copiant/collant dans la fenêtre de l'assistant de recherche windows)

-Vide la corbeille.

*Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

*vas dans le menu démarrer executer et tu tapes : services.msc

Cherche le service suivant:Network DRV (NTDRV)

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Fais la même chose avec ce service=> Video Processor (VidPrcs)

Quitte les services.

Lancer Hijackthis, choisir Open the Misc.Tools section

cliquer sur Delete an NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

NTDRV

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

Recommence avec ce service=>VidPrcs

-Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

*Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rappport de scan d'Ewido.

Pour ce fichier en gras , j'ai un doute(c'est certainement un malware!)=>

C:\WINNT\system32\msi.exe

Fais le analyser ici:

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

Bon ! J'ai essayé de bien faire tout ce que tu indiques.

Un problème quand même : pas trouvé les fichiers netdrvr.exe - msconfsys88.exe - WinSys32ys.exe et rlplyr.exe malgré une recherche dans tout le disque C

Voici quand même les deux rapports (Hijack et Ewido)

PS : quand je vois tout ce qui a été supprimé, il me semble que AVAST est une vraie passoire. Avant j'avais Norton (que je payais consciencieusement chaque année) et j'ai changé suite à un article de 01.net affirmant qu'avast est mieux que Norton.

Mais que faut-il installer pour ne plus avoir ces mésaventures ?

Logfile of HijackThis v1.99.1

Scan saved at 12:07:44, on 6/03/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINNT\system32\MGE\RunSC.exe

C:\WINNT\system32\MGE\PCtl.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\MsPMSPSv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\ZipToA.exe

C:\WINNT\system32\MGE\BIL.EXE

C:\WINNT\system32\MGE\CILUSB.EXE

C:\WINNT\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\SAM\SAM.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\WHFC\WHFC\Whfc.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.toine.be:3128

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [spyware-Cop] "C:\PROGRA~1\SPYWAR~1\Spyware-Cop.exe" /s

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: SAM.lnk = C:\Program Files\SAM\SAM.exe

O4 - Startup: Whfc.lnk = C:\Program Files\WHFC\WHFC\Whfc.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html

O8 - Extra context menu item: Ouvrir avec GetRight - C:/PROGRA~1/GETRIGHT/GRbrowse.htm

O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html

O8 - Extra context menu item: Télecharger avec GetRight - C:/PROGRA~1/GETRIGHT/GRdownload.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O15 - Trusted Zone: http://netbanking.dexia.be

O15 - Trusted IP range: http://127.0.0.1

O16 - DPF: Dexia Netbanking - http://netbanking.dexia.be/PC//Dynamic/Sha...t//DexiaIIA.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200209...meInstaller.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/fr/big/1.1....g/GoogleNav.cab

O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{2F572336-C10B-4208-A774-AF521C7AFD6E}: Domain = woo.toine.be

O17 - HKLM\System\CS2\Services\Tcpip\..\{2F572336-C10B-4208-A774-AF521C7AFD6E}: Domain = woo.toine.be

O17 - HKLM\System\CS3\Services\Tcpip\..\{2F572336-C10B-4208-A774-AF521C7AFD6E}: Domain = woo.toine.be

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: MGE Service module - Unknown owner - C:\WINNT\system32\MGE\RunSC.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINNT\system32\HPHipm11.exe

O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINNT\System32\ups2.exe (file missing)

O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 11:53:27, 6/03/2006

+ Somme de contrôle: 425E2A61

+ Résultats du scan:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Adware.WebRebates : Nettoyer et sauvegarder

:mozilla.18:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Profiles\Michel\d0ft8i09.slt\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.28:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Profiles\Michel\d0ft8i09.slt\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@downloads-zdnet.com[2].txt -> TrackingCookie.Com : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@e-2dj6wflowmazodq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@e-2dj6wjmyqodzwbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@install.xxxtoolbar[1].txt -> TrackingCookie.Xxxtoolbar : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@redcats.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@stats.esomniture[2].txt -> TrackingCookie.Esomniture : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@tacoda[2].txt -> TrackingCookie.Tacoda : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@webstat[2].txt -> TrackingCookie.Web-stat : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@wreport.weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.sidefind[1].txt -> TrackingCookie.Sidefind : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.web-stat[2].txt -> TrackingCookie.Web-stat : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.xxxtoolbar[1].txt -> TrackingCookie.Xxxtoolbar : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.ysbweb[1].txt -> TrackingCookie.Ysbweb : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@yadro[1].txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

C:\WINNT\bde -> Adware.BrilliantDigital : Nettoyer et sauvegarder

::Fin du rapport

Thanos · le 6 mars 2006

salut heloise

Joli boulot ,est ce que tu peux vérifier pour ceci,si tu trouves le fichier=>

Pour ce fichier en gras , j'ai un doute(c'est certainement un malware!)=>

C:\WINNT\system32\msi.exe

Fais le analyser ici:

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

A priori ton rapport ne montre rien d'infectieux à présent, mais un malware ne venant que rarement seul;peux tu faire ce scan stp=>

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

PS : quand je vois tout ce qui a été supprimé, il me semble que AVAST est une vraie passoire. Avant j'avais Norton (que je payais consciencieusement chaque année) et j'ai changé suite à un article de 01.net affirmant qu'avast est mieux que Norton.
Mais que faut-il installer pour ne plus avoir ces mésaventures ?

Personnellement, j'utilise Antivir+ Zone Alarm et je n'ai aucun souci!mais il faut bien se dire que ces utilitaires ne servent à rien si ils ne sont pas correctement paramétrés d'une part, et si l'internaute ne se montre pas prudent en surfant sur le net d'autre part!Apres tout ca on verra comment sécuriser ton pc au mieux,si tu veux bien

Remarque:Pour ne pas reprendre ma réponse à chaque fois, utilise lorsque tu postes le bouton "Répondre" qui se trouve entre "Flash" et "Nouveau" en bas de page, pour ne pas allonger le topic :-P

Modifié le 6 mars 2006 par charles ingals

heloise · le 6 mars 2006

Pour msi.exe, je n'ai pas trouvé le fichier dans le répertoire mentionné. Une recherche dans tout le disque n'a rien donné non plus !

Dans WINNT/System32, il y a seulement un msi.dll (pas de msi.exe)

Je dois dire que je trouve assez extraordinaire de pouvoir trouver une telle aide dans ce forum. C'est la première fois que je fais appel et je suis abasourdi de tant de gentillesse et de compétence.

Bon, je fais Kasperski

Thanos · le 6 mars 2006

merci pour le petit mot gentil héloise ,on est là pour ca à toute à l'heure pour la suite!

heloise · le 6 mars 2006

Kaspersky terminé : n'a rien trouvé.

L'analyse est terminée.

Pas de logiciel malveillant détecté. Les sections analysées sont SAINES.

Le rapport est vide.

Please note: le logiciel gratuit Kaspersky On-line Scanner n’offre pas une protection globale et ne peut empêcher les infections futures. Il ne détecte que les codes malveillants qui ont déjà pénétré dans vos disques de stockage. Nous vous conseillons vivement d’utiliser entièrement un logiciel antivirus opérationnel afin de protéger votre ordinateur en permanence.

Patientez, car ce processus peut prendre un certain temps en fonction de la cible sélectionnée. Si vous souhaitez continuer à surfer, ouvrez une seconde fenêtre.

Progression de l'analyse [99%]:

Total de fichiers analysés : 44193

Nombre de virus trouvés : 0

Nombre d'objets infectés : 0

Nombre d'objets suspects : 0

Durée de l'analyse : 02:18:01

Si maintenant tout est en ordre, est-ce abuser de demander des conseils pour une protection ptomale du PC ? Tu as mentionné antivir et Zone Alarm. Y a-t-il des astuces pour l'installation/la configuration ?

Du fait que qu'il y a un PC serveur (et un routeur) entre mon PC et le réseau Internet, Zone Alarm n'est-il pas superflu ?

Thanos · le 6 mars 2006

salut heloise

Tres bien tout ca!Je pense qu'un firewall et nécéssaire, malgré ta configuration (n'oublie pas que ton pc a été infecté!)Comment fonctionne ton pc?

Pour ce qui est du réglage des logiciels:

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

-télécharge Antivir

http://www.free-av.com

-son tutorial:

http://speedweb1.free.fr/frames2.php?page=tuto5

La version a changé par rapport au tutorial, mais les reglages sont identiques

Je t'avais fais faire ceci pour avoir acces à tous les fichiers =>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

A présent recache tous ces dossiers pour ne pas en effacer un par erreur!

-Nettoie ton pc avec Easy cleaner "Registre" et "Inutiles".Ne pas toucher à la fonction doublons pour nettoyer ton pc(utilise le de temps en temps surtout apres désinstallation de programmes).

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

http://gerard.melone.free.fr/IT/IT-AM0.html

1)-Voici les utilitaires et programmes que tu peux installer pour sécuriser ton pc:

=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628

Si tu veux toujours utiliser IE! :

=> IE-SPYAD2:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

http://www.spywarewarrior.com/uiuc/res/ie-spyad2.exe

=> ZebProtect (pour sécuriser les ports de ton pc,très simple)

-Tutorial:http://www.zebulon.fr/articles/zebprotect.php

-Téléchargement: http://telechargement.zebulon.fr/123.html

=> Si tu veux tester ton firewall : scanner les ports du pc:

http://www.pcflank.com/

=>SpywareBlaster:

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

=>Ad-awareSEun excellent antispyware pour scanner le pc( pour bénéficier de la protection en temsp réel, il faut choisir la version payante)

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

=>SpyBot-Search & Destroy

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

=>Regprot(petit utilitaire tres léger:144ko!)pour protéger ta base de registre:

http://www.diamondcs.com.au/index.php?page=regprot

=>Ewido:ici

c'est une version d'essai,qui perd certaines fonctions payantes,(pas de protection résidente)

mais il reste efficace!Met le à jour avant de scanner ton pc.Excellent antitroyan.

2)-Les utilitaires pour nettoyer le pc:

=> Clean Up 40:

http://www.stevengould.org/software/cleanup/

-Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées:

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

Puis lance le scan(cleanup)

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

=>EasyCleaner de Toni Helenius

Utiliser uniquement les fonctions "Registre" et "Inutiles".Ne pas toucher à la fonction doublons.

-Tutorial:

http://www.uptoopc.net/nettoyer/temporaires.php

http://www.uptoopc.net/nettoyer/registre.php

http://www.uptoopc.net/nettoyer/autresfonctions.php

=> JV16 PowerTools de Jouni Vuorio : Utilitaire tres complet : Il integre les fonctions de Regcleaner.Dédié au nettoyage du registre

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

-Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

-Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

Conserve Ewido,il est à l'essai 14 jours puis il perd certaines fonctions payantes, mais il reste efficace!Met le à jour avant de scanner ton pc.

-Pour finir,il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware:

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens ce sont joint pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaire, peuvent déposer une plainte contre le malware et leurs auteurs.

Plus d'info sur le topic d'ipl_001 ici(merci à Kimberley!!)=>

http://forum.zebulon.fr/index.php?showtopic=88688

heloise · le 8 mars 2006

Bref, encore quelques manip en perspective pour assurer une bonne protection.

Je ne vous dirai jamais assez merci pour votre aide précieuse.

Question subsidiaire : mon PC n'est plus tout récent (HP Pentium 300 Mhz je crois) - tous ces utilitaires ne vont-ils pas mobiliser beaucoup de ressources et par conséquent rendre les applications bureautiques sensiblement plus lentes (j'ai quand même installé depuis longtemps 513 Mb RAM)

Thanos · le 8 mars 2006

salut heloise

Je comprend ton inquiêtude! Dans la liste que je t'ai cité, regprot par exemple ne prend que 144 ko de mémoire(autant dire,rien!) ,les autres protections mise à part le teatimer de Spybot ne pompent aucune ressource! Ne confond pas un utilitaire qui tourne et consomme des ressources(ton antivirus,le parefeu..) et un utilitaire que tu ne vas lancer que pour scanner(Ewido et Ad Aware SE dans leur version gratos par exemple).

Quant aux nettoyeurs,ils ne consomment des ressources que le temps du nettoyage!

Tout ceci conjugué ne prendra de la place que sur le disque dur.

Si tu veux bien éditer ton premier message ( edition=>complête en bas de page) et mettre "résolu" dans le titre

Modifié le 8 mars 2006 par charles ingals

Connexion

Pas encore inscrit ?

Win32.Ranky-cn - Résolu (super l'aide sur Zebulon !)

Messages recommandés

Thanos

heloise

Thanos

heloise

Thanos

heloise

Thanos

heloise

Thanos

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer