fenetres pubs intempestives PC lent + infection par perlovga

Bonjour,

Sur mon ordinateur, j'avais plein de pages publicitaires qui s'ouvraient lors de mes surfs internet. Et les pages s'ouvraient en rapport avec le type de pages visitées. De plus le PC était lent, surtout au démarrage comme si un programme malveillant monopolisait la mémoire au démarrage.

1/ J'ai donc télécharger Malwarebytes sur le site www.malwarebytes.org
J'ai suivi le tuto.
J'ai choisi d'exécuter un examen complet" et à la fin du scan , j'ai coché tous les éléments trouvés,et cliqué sur supprimer la sélection.
Je vous en poste le rapport :

alwarebytes' Anti-Malware 1.30
Version de la base de données: 1358
Windows 6.0.6000

03/11/2008 15:17:15
mbam-log-2008-11-03 (15-17-07).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 122600
Temps écoulé: 51 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\WebMediaPlayer (Rogue.WebMediaPlayer) -> No action taken.
C:\Program Files\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> No action taken.
C:\Program Files\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> No action taken.
C:\Program Files\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> No action taken.

Fichier(s) infecté(s):
C:\Users\laurence\Local Settings\Application Data\usggmme_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\laurence\Local Settings\Application Data\usggmme_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\laurence\Local Settings\Application Data\usggmme.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\laurence\Local Settings\Application Data\usggmme.exe (Adware.Navipromo.H) -> No action taken.
C:\Program Files\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> No action taken.
C:\Program Files\WebMediaPlayer\WebMediaPlayer.exe (Rogue.WebMediaPlayer) -> No action taken.
C:\Program Files\WebMediaPlayer\resources\languages_v2.xml (Rogue.WebMediaPlayer) -> No action taken.
C:\Program Files\WebMediaPlayer\resources\webmedias (Rogue.WebMediaPlayer) -> No action taken.
C:\Program Files\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer (Rogue.WebMediaPlayer) -> No action taken.

[color=#ce0000][/color]ATTENTION : Je garantis que après avoir cliquer sur suprimer la sélection, que j'ai refait un rapport (oublié de l'enregistré), et que pour tout mentionné il y avait alors écrit que c'étais supprimé avec succès. J'ai supprimé ceux qui étaient dans la quarantaine. Il y a un truc qu'il avait mis dans les programmes de démarrages bloqués,etg j'ai du redémarer le PC.

2/ J'ai télécharger Hijackthis.
J'ai choisi "Do a system Scan and Save a Logfile"
Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:39:49, on 03/11/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.04\AMVConverter\grab.html
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.04\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix:
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/fr-fr/wlscctrl2.ca(...)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll eNetHook.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

--
End of file - 9361 bytes

Qu'en pensez-vous ?
Je remercie par avance toute personne qui accepterait de m'aider.

A+,
Mika

PS : j'ai désactiver la restauration système pour la purger, puis après toutes mes manips j'ai créé un nouveau point de restauration.

Clique ici pour télécharger Navilog1 (de Il Mafioso) sur le bureau.

Double clique sur Navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.
(Ne fais pas le choix 2,3 ou 4 sans notre avis/accord)


Poste moi le rapport dans ta prochaine réponse s'il te plait. Le rapport se trouve ici C:\fixnavi.txt



========================================================


Les programmes suivants installent discrètement l'adware Navipromo.
Par conséquent, leur installation/réinstallation est à proscrire

Salut !

Ah... Je venais justement dire que j'étais entrain de travailler avec Navilog1 lol Je reviens quand c'est fini.
Merci pour ta réponse.

A+,
Mika

ça y est ! c fini.

Catchme et mon Kaspersky n'avaient pas l'air trop copains mais tout c'est bien passé
Par contre, un truc que je trouve TRES déplaisant c'est que au cours du processus j'ai été dirigé vers un site de captures d'images... alors que j'ai télécharger Navilog1 à partir du lien donné sur ce site à l'adresse suivante :
http://forum.telecharger.01net.com/microhebdo/questions-techniques-diverses/t(...)

Enfin, voici le rapport généré :

Search Navipromo version 3.6.7 commencé le 03/11/2008 à 17:50:21,51

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "laurence"

Mise à jour le 22.10.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16757
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\WebMediaPlayer trouvé !

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\laurence\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\laurence\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\laurence\AppData\Roaming" ***


*** Recherche dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\laurence\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\laurence\AppData\Local" *

* Recherche dans "C:\Users\INVIT~1\AppData\Local" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\laurence\AppData\Local\Microsoft" :


* Dans "C:\Users\laurence\AppData\Local" :

eyeyw_navup.dat trouvé !

* Dans "C:\Users\INVIT~1\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 03/11/2008 à 18:04:05,44 ***

Qu'en penses-tu ?
Merci pour ton aide,
A+,
Mika

Allez tu relances et hop option 2

Poste le rapport dans ta prochaine réponse avec un nouveau hijack

J'ai fini l' étape 2 de Navilog1,
voici le rapport :

Clean Navipromo version 3.6.7 commencé le 03/11/2008 à 18:35:42,91

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "laurence"

Mise à jour le 22.10.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16757
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *


* Suppression dans "C:\Users\laurence\AppData\Local\Microsoft" *


* Suppression dans "C:\Users\laurence\AppData\Local" *


* Suppression dans "C:\Users\INVIT~1\AppData\Local" *



*** Suppression dossiers dans "C:\Windows" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Suppression dossiers dans "C:\ProgramData" ***


*** Suppression dossiers dans c:\users\laurence\appdata\roaming\micros~1\windows\startm~1\programs ***


*** Suppression dossiers dans "C:\Users\INVIT~1\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "C:\Users\laurence\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\laurence\AppData\Roaming" ***


*** Suppression dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\laurence\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\Windows\system32" *


* Dans "C:\Users\laurence\AppData\Local\Microsoft" *


* Dans "C:\Users\laurence\AppData\Local" *


eyeyw_navup.dat trouvé !
Copie eyeyw_navup.dat réalisée avec succès !
eyeyw_navup.dat supprimé !


* Dans "C:\Users\INVIT~1\AppData\Local" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !


*** Nettoyage terminé le 03/11/2008 à 18:49:28,92 ***




Et le nouveau rapport Hijacthis (après étape 2 de Navilog1) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:29, on 03/11/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wuauclt.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.04\AMVConverter\grab.html
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.04\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix:
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/fr-fr/wlscctrl2.ca(...)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll eNetHook.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

--
End of file - 9039 bytes

J'attends de tes nouvelles pour savoir ce que je dois faire ensuite,
merci encore.

A+,
Mika

RE-salut,

Je voulais juste te prévenir que après le dîner, je vais me reposer car mon travail la nuit dernière m'a épuisé, et j'ai pas beaucoup dormi quand je suis rentré. Passe une bonne soirée !

A+,
Mika

Re,


Clique ici pour télécharger GenProc sur le bureau

=> Décompresse le sur le bureau
=> Ouvre le dossier créé et lance GenProc.bat
=> Enregistre le rapport sur le bureau et poste le ici s'il te plait

Une aide à l'utilisation ici

Salut Senosen11,

Je vais faire de suite ce que tu m'as demandé de faire.

Je voulais sinon te dire les nouvelles infos :
J'ai viré l'antivirus Bit Defender de l'ordi portable à la maison (ordi de 'Laurence') que je cherche à désinfecter.
J'y ai installé l'antivirus Kaspersky que j'avais déjà depuis deux mois sur mon ordi de bureau à la maison.
Kaspersky a trouvé des infections dans :
C:\Windows\systeme32\msxml4.dll
C:\programm fils\java\J2re14.02_05\bin\eula.dll
C:\program files\common files\microsoft shared\Office10\MSO.DLL
C:\promgram files\microsoft office\office 10\winword.exe
C:\promgram files\microsoft office\office 10\powerpnt.exe
C:\promgram files\microsoft office\office 10\execel.exe
C:\promgram files\microsoft office\office 10\outlook.exe

Kaspersky me dit que ce sont des menaces tres dangereuses...
et même extrêmement dangereuse pour celle de winword...
(Je prive Laurence de télé ce soir ? )

Il ne peut pas les corriger.

Je reviens en te postant le rapport de GenProc demandé.

A+,
Mika

Re-Salut,

Voici le rapport :

Rapport GenProc 2.168 [1] le 05/11/2008 à 0:06:21,28 - Windows Vista


Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout.


Etape 1/ Télécharge :



MSNFix (!aur3n7) et décompresse-le sur le Bureau.



Redémarre en mode sans échec comme indiqué ICI pour retrouver le rapport, clique sur le raccourci "GenProc"sur ton bureau.
Choisis ta session courante "laurence"



Etape 2/



Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.


Etape 3/



Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.



Etape 4/



Redémarre normalement et poste, dans la même réponse :

Le contenu du rapport MSNfix situé sur le Bureau ;


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

A+,
Mika

Re,

suite la procédure donnait par GenProc

CCleaner est ici et MSNFix là

relance un hijack et poste le rapport

Re,

J'ai donc suivi la procédure donnée par GenProc.
J'ai dé-zipé MSNfix sur mon bureau,
j'ai redémarré en Mode sans échec
j'ai lancé MSNfix.bat
Une infection a été trouvée !Après l'étape 3/3 du nettoyage,
une fenetre en fond rouge s'est ouverte me disant :
"des fichiers sont encore présents, veuillez redémarrer votre
ordinateur pour terminer le nettoyage"
Je sais que cela est normal, je l'ai lu sur des divers sites au sujet de MSNfix.
J'ai donc redémarrer en mode normal.
C'est alors qu'une fenetre windows s'est ouverte me disant :
"Windows ne peut pas ouvrir ce fichier
Fichier : MicrosoftOffice.MSNfix
Pour ouvrir ce fichier, Windows doit connaître le programme
que vous souhaitez utiliser..."
Et le fait, c'est que je ne vois alors nulpart de rapport de MSNfix,
où est-il ???

Enfin comme du coup j'avais oublié de faire le nettoyage avec CCleaner
(logiciel que je connaissais déjà, je l'ai depuis deux mois et je m'en sers souvent sur mon autre ordi de bureau)
dans le doute, j'ai recommencé la procédure depuis le début,
et la deuxième fois MSNfix me disait que l'infection n'a pas été détectée,
signe qu'elle a bien été éradiquée la première fois donc.

NOte : Il est apparu sur mon bureau un fichier nommé Upload_Me
mais ça n'est pas un rapport ??? Qu'est-ce que c'est ???

Voici mon nouveau rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:40, on 05/11/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\wuauclt.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O4 - Global Startup: Microsoft Office.MSNFix
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.04\AMVConverter\grab.html
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.04\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix:
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/fr-fr/wlscctrl2.ca(...)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll eNetHook.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

--
End of file - 8751 bytes

A+,
Mika

PS : je travaille cette nuit de 20 h à 8 h, ainsi que la nuit d'après,
donc je crains ne pas pouvoir passer ici avant vendredi matin

Re,


bon bin ça semble pas mal tout cela, surfe un peu et dis nous si c'est pub reviennent

Upload_Me doit être le rapport zip de MSNFix mais comme il y a eu un bug au moment de le générer tu peux le virer, comme tu as relance le log tu as confirmé la suppression de l'infection

Il restera quelques log à virer au démarrage de ton ordi mais on verra cela vendredi pô de soucis mais dans l'aprés midi pour moi

Salut !

Salut !

Je voulais te dire que désormais la fenêtre que j'avais eu, me disant que Windows ne peut ouvrir le fichier Microsoft office MSNfix et a besoin de connaitre quel programmle utiliser pour l'ouvrir, apparaît à chaque démarrage de l'ordinateur...
J'aussi un fichier Catchme.txt qui s'est créé sur le bureau , j'avais oublié de t'en parler.

J'ai refait une analyse complète avec Kaspersdky il détecte toujours les mêmes menaces dont je t'avais parlé.

Il semblerait que mercredi soir je n'avais plus les fenêtres publicitaires intempestives, il n'empêche que je trouve l'ordi lent.
Pire... ce matin, alors que j'arrive parfaitement à me connecter avec MON ordi de bureau, dès que j'essaie de connecter en même temps l'ordi infecté de Laurence, ça coupe, plus de connexion ... J'avais essayé avant de ne connecter que celui de Laurence, ça me mets d'abord que internet est connecté puis dès que je veux ouvrir ma page d'accueil ou autre, plus de connexion, rien...

J'attends patiemment de tes nouvelles.

A+,
Mika

j'ai redémarré l'ordi et la connexion est revenue...

Bonjour,petite intrusion ce sont des avertissements de Kaspersky qui te dit que tes programmes sont vulnérables car ils ne sont pas à jour failles de securité

C:\Windows\systeme32\msxml4.dll
C:\programm fils\java\J2re14.02_05\bin\eula.dll
C:\program files\common files\microsoft shared\Office10\MSO.DLL
C:\promgram files\microsoft office\office 10\winword.exe
C:\promgram files\microsoft office\office 10\powerpnt.exe
C:\promgram files\microsoft office\office 10\execel.exe
C:\promgram files\microsoft office\office 10\outlook.exe

il faut que tu mette tes programmes a jour
en attendant le retour de senosen11,tu peut deja t'occuper de Java

Télécharge JavaRA de Paul 'Prm753' McLain et Fred de Vries. [list]

Aide en images

Pour Vista,il faut Désactiver l’UAC de VISTA,ou le mettre en "quiet mode" avec Tweak UAC et le lancer en tant qu'administrateur.

Décompresse le fichier sur le bureau (clic droit Extraire tout)

Double-clique sur le répertoire JavaRa

Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)

Clique sur Search For Updates

Sélectionne Update Using jucheck.exe puis clique sur Search

Autorise le processus à se connecter s'il le demande,clique sur Install et suit les instructions d'installation qui prennent quelques minutes.

L'installation est terminée, reviens à l'écran de JavaRa et clique sur Remove Older Versions

Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur Ok, puis une deuxième fois sur Ok.

Un rapport va s'ouvrir à copier-coller dans la prochaine réponse.

Ferme l'application.

Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log .

A+

Re,

MSNFix tu peux le supprimer pas de soucis cela réglera le problème de reconnaissance par MicrosoftOffice qui je dois dire je ne vois pas ce qu'il veut en faire.

Catcheme.txt tu peux supprimer aussi



Passe un coup de ccleaner en mode registre ensuite puis corrige les erreurs

Passe le aussi en mode nettoyeur





Kaspersky est bien gentil mais tous les fichiers sont légitimes

Désinstalle Kaspersky passe Ccleaner en mode Registre fais plusieurs passe, installe antivir, mets le à jour et scan ton ordi avec, poste le rapport qui dans la section report

Pour gagner du temps au démarrage de l'ordi

fais démarrer >> Exécuter >> tape msconfig >> dans la fenêtre démarrage

Décoche tout ce qui a un rapport avec:

C:\Program Files\Adobe\Reader 8.0
C:\Windows\system32\NeroCheck.exe
C:\Program Files\IncrediMail
C:\Program Files\Bonjour

Appliquer et Ok au redémarrage de l'ordi coche la case ne plus me prévenir et dis nous ...

Salut !

Désinstaller Kaspersky ???!!!
Heu... Tu plaisantes là j'espère ! LOL
Kaspersky est le meilleur antivirus qui existe,
il suffit de bien comprendre ce qu'il veut dire.
Ce n'est en effet pas tous les antivirus qui détectent des non mises à jour affectant la sécurité, et Kaspersky avait une époque trouvé plusieurs infections par trojans (sur le pc de laurence) que ni Bit Defender, ni spybot, ni ad-aware ne détectaient...

A+

Re,

Meilleur antivirus qui existe mais qui détecte des fichiers légitimes comme infectieux ... enfin là n'est pas le problème

fais ceci:

Lance Internet Explorer, et rendez-vous sur Webscanner Kaspersky

/!\ Désactive ton antivirus le temps du scan /!\

Clique sur

Accepte la licence

Accepte et installe le contrôle ActiveX (bandeau en haut de page)

Attend la fin du chargement de la base puis clique sur Suivant.

Dans Analyser avec la base antivirus suivante coche étendue. A défaut, choisir Standard.

Dans Options d'analyse, coche Analyser les archives + Analyser les bases de messagerie.

valide en cliquant sur Ok (Merci à GB pour ces options)

Choisir "Poste de travail" et laisser faire (peut durer plus d'une heure)

Sauvegarde le rapport à la fin (cliquer sur Enregistrer le rapport)

Une aide en image ici

NON ! En fait c'est MOI qui me suis mal exprimé, qui est pas bien compris ce que de disait Kaspersky, désolé.
Je viens de voir que Kaspersky n'a jamais dit que les dits fichiers sont infectés, il disait seulement qu'il détecte une faille au niveau de ces fichiers là. Le seul souci de Kaspersky est que le novice a un peu de mal au début à comprendre tout de suite ce que Kaspersky veut dire, mais Jypalou a en fait raison, c bien ça, Kaspersky indique une faille en raison d'un défaut de mises à jour.
Perso, l'ordi de laurence a été infecté au bout de qqs mois avec Bit dfender,
mais moi je n'ai pas eu la moindre infection sur MON ordi de bureau avec Kaspersky depuis 2003.

A+,
Je travaille demain toute la journée,
et j'ai eu un emploi du temps imprévu aujourd'hui.

à Jypalou, j'ai mis à jour le Java mais en allant sur le site internet de java.

à senosen : j'ai fait l'analyse par le Scanner Online de Kaspersky comme tu me l'a demandé, il n'a trouvé aucun virus, aucun objet infecté, aucun objet suspect. Par contre un tas de fichiers étaient vérouillés il me dit, dans documents and settings et program data.

A+

Merci à toi Senosen car je n'ai plus de pages temporaires intempestives quand je surfes avec l'ordi de Laurence. L'ordi est à nouveau aussi plus rapide.

Bonjour,as tu pense a désinstaller tous les logiciels qui ont servis a la desinfection?
A+

Salut Jypalou

Oui, j'ai désinstallé Navilog1, GenProc et MSNfix.
J'ai par contre bien évidemment laissé CCleaner et MalwareBytes.

Par contre je demanderai à Laurence, mais
il m'a semblé que l'apparition de la fenetre comme quoi
Windows ne peut lire "Microsoft office MSNfix" persiste,
malgré la désinstallation de MSNFix, il faudra que je vérifie.

Salut !

Excusez moi mais ... malgré la désinstallation de MSN fix, à chaque démarrage 'affiche la fenetre disant que windows n'arrive pas à ouvrir le fichier mocrosoft office msn fix... j'en ai déjà parlé plus haut. Que faut-il faire ?

Cordialement,
Mika

Bonjour,passe ToolsCleaner:
Fermes toutes les applications en cours, puis télécharge, ToolsCleaner De (A.Rothstein et dj QUIOU ) Sur ton Bureau.

ToolsCleaner

Pour Vista Il faut faire un clic droit sur ToolsCleaner, puis Exécuter en tant que Administrateur


Doubleclique dessus pour lancer le programme

Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

Poste moi le rapport qui apparait

Attends mon feu vert pour cliquer sur Suppression

Salut !

Voici la rapport de Toolscleaner.
Il me semblait pourtant avoir désinstaller Navilog1 avec Ccleaner...

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\*.msnfix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup\*.msnfix: trouvé !
C:\Users\Invité\Desktop\HijackThis.lnk: trouvé !
C:\Users\laurence\*.msnfix: trouvé !
C:\Users\laurence\Desktop\HijackThis.lnk: trouvé !
C:\Windows\msnfix.txt: trouvé !

Par contre nouveau souci, lorsqsue j'ai inséré une clé USB pour copier des docs words, l'antivirus a détecté une activité virale...un virus a tenté de s'insérer dans la clé USB je crois... j'ai fait "supprimer".
Je te copie les lignes d'évènements qui figurent dans le journal de Kaspersky :
21/11/2008 21:23:53 Supprimés: Worm.Win32.Perlovga.a Windows Explorer H:\copy.exe
21/11/2008 21:22:36 Détectés: Worm.Win32.Perlovga.a Windows Explorer H:\copy.exe/PE_Patch/MEW

J'ai vu sur le net que c'est un ver véhiculant par périphériques USB.
Il me faudra donc vacciner ma clé USB...

Re,

bon tu peux lancer l'option 2 de Toolscleaner cela permettra une désinstallation propre et complète des log de désinfection.

On retéléchargera ce que l'on a besoin au cas où !!!

concernant ta clé USB infectée vois ceci:


Téléchargez Flash_Disinfector de sUBs :
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

branche tous tes support externe (clef usb,dd externes,carte photo SD etc...)
doulle clic sur l'icône de flash disinfector,clic sur "OK" et au message "DONE" clic à nouveau sur "ok"

Si ton antivirus fait une alerte, désactive la protection pour pouvoir exécuter ce fichier.

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infection sur ce lien :
http://forum.malekal.com/ftopic3350.php

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela :

SURTOUT ne pas double-cliquer sur le disque dans le poste de travail(tu fait clic droit dessus et choisie "explorer"

Ouvre le poste de travail
Clic sur le menu outils en haut à droite puis options des dossiers
Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
Coche dans la liste "Afficher les fichiers cachés"
Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Ouvre le poste de travail
Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
Choisis ouvrir dans le menu déroulant.
Cherche un fichier autorun.inf et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs
Si présents, supprimez le en faisant un clic droit puis supprimer.
Répétez l'opération sur tous les disques se trouvant dans le poste de travail.



(merci à jeanmimigab pour le canned)

Salut

Je me posais une question tout de même.
L'infection était-elle dans l'ordi et a-t-elle tenté de se propager à la clé USB ? Dans ce cas l'antivirus ne l'a-t-elle pas bloqué ?
Je rapelle quand même que les scans en ligne n'avaient rien détectés...
Ou bien le vers n'était-il pas plutot dans la clé USB et a tenté de se propager à l'ordi ? Là encore dans cette hypothèse, l'antivirus ne l'aurait-il pas bloqué ? (je ne m'étais pas servi ichde la clé USB depuis que j'ai copié avec des fichiers loisirs à un collègue)
Bref, en fait que s'est-il vraiment passé ?

A+

OK ! J'ai fait l'étape "suppression" avec ToolsBar,
Voici le rapport :

->- Suppression:

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Invité\Desktop\HijackThis.lnk: supprimé !
C:\Users\laurence\Desktop\HijackThis.lnk: supprimé !
C:\fixnavi.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\backups\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Users\laurence\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Users\laurence\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\laurence\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\backups\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Windows\msnfix.txt: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\laurence\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !

Je crois que MSNfix ne se supprime pas là ?

OK ! J'ai tout fait ce qui était demandé !
C'est donc bien ce que je pensais :
il n'y avait et il n'y aucune infection par perlovga.a dans l'ordi,
je ne l'ai trouvé QUE dans le disque amovible H qu''était ma clé USB,
j'y ai bien trouvé un fichier autorun.inf
Quand je branchais ma clé USB, le vers générait un fichier appelé Host sur la clé USB que Kaspersky me demandait de supprimer aussitôt pour cause détection d'infection par vers perlovga.a
Kaspersky a fait son boulot !
Ok, ok, il n'a pas supprimé le fichier "autorun.inf mais je suppose que aucun antivirus ne vaccine la clé USB dans ce cas...
Enfin j'ai supprimé ce fichier moi même comme indiqué.

NOTE : je suppose que je peux supprimer le fichier desktop.ini qui s'est créé sur le bureau ?