Win32.Obfuscated.en

Invité

bonjour, j'ai exactement le même problème que toi avec le Trojan.Win32.Obfuscated.en , j'ai donc fait un scan avec HijackThis comme toi et voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 12:14:01, on 12/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Apps\ActivBoard\OSD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Documents and Settings\patrick\Bureau\fsbl.exe
C:\Documents and Settings\patrick\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0EC146E6-4599-8852-A055-4C71E7616A6F} - C:\DOCUME~1\patrick\APPLIC~1\32ITCH~1\OwnsLink.exe (file missing)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Browsecityinterwindow] C:\Documents and Settings\All Users\Application Data\OPTIONCAKEBROWSECITY\bait fast.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [inter free] C:\DOCUME~1\patrick\APPLIC~1\BOOKFI~1\Build deaf.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm
O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm
O8 - Extra context menu item: Traduire - C:\Program Files\PROMT98\promtie4\translat.htm
O8 - Extra context menu item: Traduire dans WebView - C:\Program Files\PROMT98\promtie4\webview.htm
O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center
O16 - DPF: Interface Chat Wanadoo -
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Pouvez vous me dire ce que je dois faire?

Hello Julien

Rien de bien méchant.

Télécharge lopxp :
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxpMH.bat"
quand il a terminé, un rapport s'ouvre : fais un copier-coller du rapport puis mets le ici

Invité

Bonjour,désolé de répondre si tard mais je n'ai pas trop eu le temp d'aller m'occuper de l'ordinateur cette semaine.
Voici le rapport que tu m'as demandé:

Invité

Rapport lopxpMH2 version 2.0 fait à 12:30:55,06 le 17/08/2007
C:\Documents and Settings\patrick\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\All Users\Application Data

22/03/2003 10:53 <REP> .
22/03/2003 10:53 <REP> ..
20/10/2006 18:48 <REP> Adobe
03/06/2007 11:40 <REP> Google
17/05/2005 17:48 <REP> Macrovision
28/04/2005 17:52 <REP> Messenger Plus!
22/03/2003 10:53 <REP> Microsoft
02/04/2003 13:58 <REP> MSN6
28/04/2005 17:46 <REP> OPTIONCAKEBROWSECITY
26/06/2005 11:42 <REP> QuickTime
22/03/2003 11:06 <REP> SBSI
27/05/2005 16:07 <REP> Softdisk LLC
18/01/2007 17:40 <REP> Spybot - Search & Destroy
04/04/2005 18:36 <REP> Symantec
29/07/2006 17:24 <REP> Windows Genuine Advantage
22/03/2003 10:53 62 desktop.ini
1 fichier(s) 62 octets
15 Rép(s) 14 358 089 728 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\Data

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\Default User\Application Data

22/03/2003 10:53 <REP> .
22/03/2003 10:53 <REP> ..
22/03/2003 11:48 <REP> Adobe
22/03/2003 11:48 <REP> Identities
22/03/2003 11:48 <REP> InterTrust
22/03/2003 10:53 <REP> Microsoft
22/03/2003 10:53 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 14 358 089 728 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

22/03/2003 10:53 <REP> .
22/03/2003 10:53 <REP> ..
22/03/2003 11:48 <REP> Microsoft
22/03/2003 11:48 1 414 218 IconCache.db
1 fichier(s) 1 414 218 octets
3 Rép(s) 14 358 089 728 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\Images

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\LocalService\Application Data

22/03/2003 11:03 <REP> .
22/03/2003 11:03 <REP> ..
22/03/2003 11:03 <REP> Microsoft
01/04/2006 12:34 <REP> Mozilla
0 fichier(s) 0 octets
4 Rép(s) 14 358 089 728 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

22/03/2003 11:03 <REP> .
22/03/2003 11:03 <REP> ..
22/03/2003 11:03 <REP> Microsoft
01/04/2006 12:34 <REP> Mozilla
0 fichier(s) 0 octets
4 Rép(s) 14 358 089 728 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\NetworkService\Application Data

22/03/2003 11:03 <REP> .
22/03/2003 11:03 <REP> ..
22/03/2003 11:03 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 14 358 089 728 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

22/03/2003 11:03 <REP> .
22/03/2003 11:03 <REP> ..
22/03/2003 11:03 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 14 358 085 632 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\patrick\Application Data

22/03/2003 11:48 <REP> .
22/03/2003 11:48 <REP> ..
05/04/2006 15:17 <REP> .bittorrent
22/03/2003 11:48 <REP> Adobe
25/03/2005 19:10 <REP> AdobeUM
15/09/2003 10:10 <REP> ArcSoft
07/04/2006 18:14 <REP> Azureus
28/04/2005 17:46 <REP> Book find two
20/01/2007 20:07 <REP> DMCache
15/09/2003 09:38 <REP> EPSON
26/04/2005 15:08 <REP> FotoWire
21/09/2005 16:54 <REP> Google
25/03/2003 15:10 <REP> Help
22/03/2003 11:48 <REP> Identities
22/03/2003 11:48 <REP> InterTrust
17/12/2006 15:07 <REP> Lavasoft
05/04/2005 17:57 <REP> Macromedia
15/09/2003 10:33 <REP> MGI
22/03/2003 11:48 <REP> Microsoft
24/03/2006 18:46 <REP> Mozilla
02/04/2003 13:58 <REP> MSN6
26/06/2005 11:44 <REP> Nikon
07/02/2006 18:25 <REP> OpenOffice.org2
17/09/2005 21:21 <REP> Real
26/06/2005 14:52 <REP> Registry Cleaner
10/04/2007 15:30 <REP> Screenshot Sender
07/04/2006 18:14 <REP> Sun
04/04/2005 18:36 <REP> Symantec
22/08/2005 16:33 <REP> vlc
26/01/2006 15:47 <REP> Wannadoo
22/03/2003 11:48 62 desktop.ini
31/03/2003 18:19 81 632 GDIPFONTCACHEV1.DAT
2 fichier(s) 81 694 octets
30 Rép(s) 14 358 085 632 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Invité

Répertoire de C:\Documents and Settings\patrick\Local Settings\Application Data

22/03/2003 11:48 <REP> .
22/03/2003 11:48 <REP> ..
25/03/2005 19:08 <REP> Adobe
05/06/2007 17:37 <REP> Ahead
06/04/2005 07:14 <REP> Google
25/03/2003 15:10 <REP> Help
01/04/2003 07:49 <REP> Identities
09/04/2005 14:21 <REP> Logitech-LS
22/03/2003 11:48 <REP> Microsoft
24/03/2006 18:50 <REP> Mozilla
08/04/2007 17:34 <REP> Nikon
26/06/2005 13:13 <REP> Pixology
19/03/2005 19:35 <REP> Pixoria
19/03/2005 20:05 <REP> Stardock
12/06/2005 18:00 <REP> WMTools Downloaded Files
31/03/2003 18:34 115 200 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
07/11/2003 18:24 82 408 GDIPFONTCACHEV1.DAT
08/10/2005 19:26 1 576 900 IconCache.db
3 fichier(s) 1 774 508 octets
15 Rép(s) 14 358 085 632 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\Propriétaire\Application Data

22/03/2003 11:04 <REP> .
22/03/2003 11:04 <REP> ..
22/03/2003 11:14 <REP> Adobe
22/03/2003 11:04 <REP> Identities
22/03/2003 11:14 <REP> InterTrust
22/03/2003 11:04 <REP> Microsoft
22/03/2003 11:04 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 14 358 085 632 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Documents and Settings\Propriétaire\Local Settings\Application Data

22/03/2003 11:04 <REP> .
22/03/2003 11:04 <REP> ..
22/03/2003 11:04 <REP> Microsoft
22/03/2003 11:07 1 414 218 IconCache.db
1 fichier(s) 1 414 218 octets
3 Rép(s) 14 358 085 632 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

22/03/2003 11:02 <REP> .
22/03/2003 11:02 <REP> ..
22/03/2003 11:48 <REP> Adobe
22/03/2003 11:48 <REP> Identities
22/03/2003 11:48 <REP> InterTrust
22/03/2003 11:02 <REP> Microsoft
22/03/2003 11:02 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 14 358 081 536 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

22/03/2003 11:02 <REP> .
22/03/2003 11:02 <REP> ..
22/03/2003 11:48 <REP> Microsoft
22/03/2003 11:48 1 414 218 IconCache.db
1 fichier(s) 1 414 218 octets
3 Rép(s) 14 358 081 536 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\AFB35FC29180D14A.job
s "ˆ! 8 c : \ d o c u m e ~ 1 \ p a t r i c k \ a p p l i c ~ 1 \ b o o k f i ~ 1 \ b i n b a i t f l a g . e x e p a t r i c k € 0 Ï <
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 50CF-CEFA

Répertoire de C:\Program Files

16/08/2007 18:53 <REP> .
16/08/2007 18:53 <REP> ..
12/08/2004 17:52 <REP> 123 Free Puzzle
18/08/2004 13:35 <REP> 2VG
09/04/2006 16:22 <REP> Adobe
04/07/2006 15:20 <REP> Adverts
19/04/2007 12:44 <REP> Ahead
11/08/2004 19:50 <REP> Alawar
21/04/2006 15:18 <REP> Alchemy Mindworks
21/12/2005 18:56 <REP> Almanach2006
03/01/2007 19:44 <REP> aMSN
28/02/2005 16:53 <REP> AOL 8.0
10/12/2006 23:01 <REP> ArcSoft
22/03/2003 11:17 <REP> Audioneer
25/08/2006 15:33 <REP> Azureus
22/03/2003 11:15 <REP> BackWeb
18/02/2007 13:35 <REP> BitComet
20/05/2006 11:02 <REP> Book find two
11/08/2005 14:56 <REP> C2Media
16/08/2007 17:30 <REP> CCleaner
10/12/2004 19:41 <REP> Common~1
21/03/2005 19:24 <REP> CursorXP
25/03/2003 15:10 <REP> DesignPro 2000
26/03/2003 15:43 <REP> directx
14/01/2005 19:02 <REP> DivX
06/08/2006 14:52 <REP> Droppix
12/04/2004 14:03 <REP> EA Games
17/05/2003 15:18 <REP> EACOM
15/08/2003 17:36 <REP> EHMINSTALL
20/02/2005 13:55 <REP> Empire Interactive
09/09/2003 09:46 <REP> EPSON
28/09/2006 16:36 <REP> Fake Webcam
16/08/2007 17:53 <REP> Fichiers communs
08/04/2003 11:19 <REP> G.T.M
03/06/2007 11:40 <REP> Google
14/05/2006 14:27 <REP> Guitar Pro 5
22/03/2003 11:23 <REP> HandyBits
26/03/2003 16:59 <REP> Hasbro Interactive
11/06/2005 16:42 <REP> Heredis 8
25/03/2005 19:07 <REP> IconChanger
06/08/2006 14:53 <REP> illiminable
27/12/2003 13:33 <REP> Illusion Softworks
10/09/2005 14:54 <REP> Illustrate
06/08/2007 17:08 <REP> Incomplete
19/03/2007 18:52 <REP> Infogrames
01/07/2003 16:23 <REP> InterActual
13/06/2007 15:51 <REP> Internet Explorer
01/06/2007 11:48 <REP> Inventel
07/04/2006 18:12 <REP> Java
12/08/2004 17:45 <REP> Jeubridge
27/06/2005 11:24 <REP> Jeux classiques
17/12/2006 15:06 <REP> Lavasoft
06/08/2007 17:08 <REP> LimeWire
26/04/2005 15:08 <REP> Logitech
16/06/2004 16:57 <REP> Maxis
04/12/2005 16:38 <REP> Messenger
22/05/2007 17:05 <REP> Messenger Plus! Live
21/04/2006 11:28 <REP> MessengerPlus! 3
20/05/2003 18:29 <REP> MGI
25/10/2006 16:46 <REP> Micro Application
22/03/2003 11:01 <REP> microsoft frontpage
04/06/2003 12:43 <REP> Microsoft Games
08/04/2007 17:56 <REP> Microsoft GIF Animator
22/03/2003 11:24 <REP> Microsoft Money
25/12/2005 18:51 <REP> Microsoft Office
31/03/2003 17:58 <REP> Microsoft Visual Studio
19/12/2003 18:29 <REP> Microsoft Works
22/03/2003 11:04 <REP> MouseWare
16/04/2005 13:36 <REP> Movie Maker
05/08/2007 16:49 <REP> Mozilla Firefox
07/09/2005 18:17 <REP> MP3 Player Utilities
12/11/2005 18:16 <REP> MSN
03/06/2007 11:43 <REP> MSN Apps
22/03/2003 10:57 <REP> MSN Gaming Zone
10/04/2007 15:16 <REP> MSN Messenger
15/09/2005 18:54 <REP> MSXML 4.0
14/08/2007 19:19 <REP> Navilog1
17/09/2005 21:17 <REP> NetMeeting
26/06/2005 11:43 <REP> Nikon
02/04/2003 18:04 <REP> NimoCodec Pack
05/04/2006 17:43 <REP> OpenOffice.org 2.0
13/06/2007 15:50 <REP> Outlook Express
29/12/2006 16:51 <REP> PhotoFiltre
30/12/2006 17:29 <REP> PhotoFiltre Studio
08/04/2007 18:00 <REP> Picasa2
04/06/2005 12:21 <REP> Player Metaboli
23/03/2007 20:31 <REP> Prassi PrimoDVD 2.0 (French)
27/12/2005 18:52 <REP> PROMT98
26/06/2005 11:42 <REP> QuickTime
17/09/2005 21:21 <REP> Real
30/06/2003 15:19 <REP> Rockstar Games
22/03/2003 11:15 <REP> SBApps
09/04/2007 16:31 <REP> Seagrand
13/07/2006 11:38 <REP> Securitoo
22/03/2003 10:57 <REP> Services en ligne
16/08/2007 17:56 <REP> Softwin
25/12/2005 18:53 <REP> SolidWorks EE
11/08/2004 20:11 <REP> Solsoft
06/06/2007 10:13 <REP> Spybot - Search & Destroy
26/06/2003 16:05 <REP> Square Soft, Inc
26/03/2005 18:07 <REP> Stardock
24/03/2007 13:46 <REP> Steam
25/07/2005 15:07 <REP> Symantec
19/03/2005 19:38 <REP> TGTSoft
08/10/2006 13:56 <REP> The Adventure Company
18/06/2005 15:47 <REP> TLC-Edusoft
18/03/2007 12:43 <REP> TVU Player
19/03/2005 20:12 <REP> Tweak-XP Pro 4
26/06/2003 17:40 <REP> Ubi Soft
04/06/2005 12:22 <REP> ubi.com
22/03/2005 19:04 <REP> Universalis 8
19/02/2005 14:58 <REP> U-Storage Tools2.70
22/08/2005 16:31 <REP> VideoLAN
22/01/2007 18:51 <REP> VirtualDJ
12/07/2007 15:15 <REP> Wanadoo
04/04/2006 16:00 <REP> Wanadoo Messager
05/08/2006 13:45 <REP> Winamp
30/12/2006 13:15 <REP> Windows Media Player
16/04/2005 13:28 <REP> Windows NT
30/08/2005 17:37 <REP> WinRAR
26/10/2006 15:43 <REP> WM Recorder 10.2
03/07/2003 16:11 <REP> WON
22/03/2003 11:01 <REP> xerox
18/08/2006 15:40 <REP> Xi
0 fichier(s) 0 octets
124 Rép(s) 14 358 077 440 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
thebullshiterz.skyblog.com REG_BINARY
jirayalee.skyblog.com REG_BINARY
music.wanadoo.fr REG_BINARY
mysearchnow.com REG_SZ
REG_SZ
REG_BINARY
webmail12.wanadoo.fr REG_BINARY
secure.wanadoo.fr REG_BINARY
fr.music.yahoo.com REG_BINARY
nos-offres.wanadoo.fr REG_BINARY
REG_BINARY
assistance.wanadoo.fr REG_BINARY
www15.mappy.com REG_BINARY
military-girl01.skyblog.com REG_BINARY
webmail15b.wanadoo.fr REG_BINARY
REG_BINARY
REG_BINARY
webmail14.wanadoo.fr REG_BINARY
REG_BINARY
webmail16b.wanadoo.fr REG_BINARY
ad.yieldmanager.com REG_BINARY
REG_BINARY
REG_BINARY
ztm71.skyblog.com REG_BINARY
*.htf.free.fr REG_BINARY
stephelo71.skyblog.fr REG_BINARY
lolatheblonde.skyblog.com REG_BINARY
REG_BINARY
nono2210.skyblog.com REG_BINARY
*.ogame199.de REG_BINARY
*.douane.gouv.fr REG_BINARY
tchat.wanadoo.fr REG_BINARY
REG_BINARY
REG_BINARY
juju091289.skyblog.com REG_BINARY
REG_BINARY
nono380.skyblog.com REG_BINARY
stephelo71.skyblog.com REG_BINARY
*.ogame316.de REG_BINARY
*.ogame216.de REG_BINARY
REG_BINARY
locweb.alizes.info REG_BINARY
REG_BINARY
misselo7101.skyblog.com REG_BINARY
webmail16d.wanadoo.fr REG_BINARY
searchweb2.com REG_SZ
REG_SZ
*.hotmail.msn.com REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\PATRICK\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\FE8PAFCO.DEFAULT\HOSTPERM.1
host popup 1 paperbox.free.fr

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Browsecityinterwindow REG_SZ C:\Documents and Settings\All Users\Application Data\OPTIONCAKEBROWSECITY\bait fast.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
inter free REG_SZ C:\DOCUME~1\patrick\APPLIC~1\BOOKFI~1\Build deaf.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

Invité

Bonsoir
Boulepate étant absent, je vais essayer de prendre le relais

Refais moi un log hitjakthis
stp
L'autre est trop ancien
Merci

Invité

Bonjour Marie,voici mon rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:08, on 21/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Securitoo\av_fw\Anti-Spyware\Ad-Monitor.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\MGI\MGI PhotoSuite 4\PhotoSuite.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\patrick\Bureau\logiciels de nettoyage et de sécurité de l'ordinateur\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0EC146E6-4599-8852-A055-4C71E7616A6F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [Browsecityinterwindow] C:\Documents and Settings\All Users\Application Data\OPTIONCAKEBROWSECITY\bait fast.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [inter free] C:\DOCUME~1\patrick\APPLIC~1\BOOKFI~1\Build deaf.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Documents and Settings\patrick\Application Data\MGI\PhotoSuite4\Temp\MGI00000.html
O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm
O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm
O8 - Extra context menu item: Traduire - C:\Program Files\PROMT98\promtie4\translat.htm
O8 - Extra context menu item: Traduire dans WebView - C:\Program Files\PROMT98\promtie4\webview.htm
O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center
O16 - DPF: Interface Chat Wanadoo -
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/patrick/Mes%20documents/DOSSIER%20JULIEN/MES%20PHOTOS/AIR%20SOFT%20GUN/MARUI_fichiers/V_1827_2286_1047721541.jpe

--
End of file - 13614 bytes

Merci de m'aider

Invité

Je tiens à te préciser que mon antivirus a fini par réussir à supprimer ce fameux trojan mais ça me paraît bizzard car il n'a pas réussi à le faire pendant plusieurs semaines et maintenant j'ai une fenêtre qui s'ouvre régulièrement:

Le processeur NTVDM à rencontré une instruction non autorisée
C:\WINDOWS\System32\wuauclt.exe
CS:pleins de chiffres IP:pleins de chiffres

quand j'essaye de la fermer ça veut pas sauf au bout de 6-7 tentatives,les problèmes continu pour moi :(

Je me demande aussi si ce serait pas ce fameux wuauclt.exe qui me ralentirait au démarrage de mon ordi car il faut bien attendre 5min pour que je puisse lancer un programme,j'ai 384 de RAM mais quand je vais dans le gestionnaire des tâches de windows je vois que j'ai au moins une petite trentaine d'applications dans le processus et dans les "perfomances" j'ai des pics de 100% et une RAM qui monte jusqu'a 600 parfois!!je crois que mon ordi est vraiment malade :'(
Donc voila ou j'en suis,ce serai vraiment gentil de m'aider

Invité

Bonsoir Marie
Salut julien

A)- C:\WINDOWS\System32\wuauclt.exe

Le faire analyser par VirusTotal

Vas là http://www.virustotal.com/fr/
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des <gras>fichiers en gras ci-après dans la liste </gras>( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :

C:\WINDOWS\System32\wuauclt.exe

•- quand tu as trouvé le fichier wuauclt.exe, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier wuauclt.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )

B)- MessengerPlus! 3
Tu n'avais peut-être pas refusé les sponsors ( Adverts ) lors de l'installation.

Vérifie ceci :
Commencer par ceci :
(sponsor d'msn plus en suivant les instructions de ce lien
http://www.astwinds.com/astuces/msn%20messenger/messenger_plus/uninstal_messenger_plus.htm

Fais démarrer>>panneau de configuration>>ajout/suppr de programme et clique une fois sur celui là: MessengerPlus! 3
Clique sur le bouton "Modifier/Supprimer"
Sélectionne la 1ère option : "Désinstaller le sponsor uniquement".
Clique ensuite sur "Désinstaller"

Quitte le panneau de configuration
Dis-moi si tu as trouvé

C)- Je vois ceci Java\jre1.5.0_06
Ce qui veut dire que ta console Java n'est pas à jour !
Une vulnérabilité a été identifiée dans Sun JDK et JRE, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable.
Vas chez Java Sun http://www.java.com/fr/ et télécharge la dernière Version 6 Update 2.
Après installation et redémarrage, vas dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.
Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

Bonne soirée
Al.

Invité

( suite )

julien, pour poursuivre la désinfection, j'ai besoin de savoir avec précision lesquels des sites ci-dessous te sont connus et inconnus :

thebullshiterz.skyblog.com
jirayalee.skyblog.com
music.wanadoo.fr
mysearchnow.com
webmail12.wanadoo.fr
secure.wanadoo.fr
fr.music.yahoo.com
nos-offres.wanadoo.fr
assistance.wanadoo.fr
www15.mappy.com
military-girl01.skyblog.com
webmail15b.wanadoo.fr
webmail14.wanadoo.fr
webmail16b.wanadoo.fr
ad.yieldmanager.com
ztm71.skyblog.com
*.htf.free.fr
stephelo71.skyblog.fr
lolatheblonde.skyblog.com
nono2210.skyblog.com
*.ogame199.de
*.douane.gouv.fr
tchat.wanadoo.fr
juju091289.skyblog.com
nono380.skyblog.com
stephelo71.skyblog.com
*.ogame316.de
*.ogame216.de
locweb.alizes.info
misselo7101.skyblog.com
webmail16d.wanadoo.fr
searchweb2.com
*.hotmail.msn.com

Merci et bonne soirée
Al.

Bonjour à tous Win32.Obfuscated.en 952224

Julien, fais ceci :

¤ Pour afficher tous les dossiers et fichiers cachés :

Clic sur "démarrer", "panneau de configuration", "outils" ,"option des dossiers", "affichage"

Coche :
- afficher les fichiers et dossiers cachés
- Clic sur "appliquer" puis "ok"
----------------------------------------------------------

Clic sur démarrer, poste de travail, C:, Windows, cherche et vide ce dossier :

- Tasks

Clic sur démarrer, poste de travail, C:, program files, cherche et supprime ces dossiers :

- Adverts
- Book find two
- C2Media
- MSN Apps

Clic sur démarrer, C:, Documents and Settings, patrick, Application Data cherche et supprime :

- Book find two

Clic sur démarrer, C:, Documents and Settings, All Users, Application Data cherche et supprime :

- OPTIONCAKEBROWSECITY

*** Si un fichier/dossier persiste lors de la suppression fait ceci:
- Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu..
Puis va supprimer les fichiers/dossiers, vide ta corbeille et redémarre ton PC normalement.

Puis n'hésite pas à suivre ce que t'a indiqué Afideg $clin d\\'oeil$

a++

Invité

Bonsoir à tous,alors pour répondre a Afideg voici mon raport d'antivir:

Fichier wuauclt.exe reçu le 2007.08.21 18:43:53 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.22.0 2007.08.21 -
AntiVir 7.4.1.62 2007.08.21 -
Authentium 4.93.8 2007.08.20 -
Avast 4.7.1029.0 2007.08.21 -
AVG 7.5.0.484 2007.08.20 -
BitDefender 7.2 2007.08.21 -
CAT-QuickHeal 9.00 2007.08.21 -
ClamAV 0.91 2007.08.21 -
DrWeb 4.33 2007.08.21 -
eSafe 7.0.15.0 2007.08.20 -
eTrust-Vet 31.1.5076 2007.08.21 -
Ewido 4.0 2007.08.21 -
FileAdvisor 1 2007.08.21 -
Fortinet 2.91.0.0 2007.08.21 -
F-Prot 4.3.2.48 2007.08.20 -
F-Secure 6.70.13030.0 2007.08.21 -
Ikarus T3.1.1.12 2007.08.21 -
Kaspersky 4.0.2.24 2007.08.21 -
McAfee 5102 2007.08.21 -
Microsoft 1.2803 2007.08.21 -
NOD32v2 2473 2007.08.21 -
Norman 5.80.02 2007.08.21 -
Panda 9.0.0.4 2007.08.21 -
Prevx1 V2 2007.08.21 -
Rising 19.37.12.00 2007.08.21 -
Sophos 4.20.0 2007.08.21 -
Sunbelt 2.2.907.0 2007.08.21 -
Symantec 10 2007.08.21 -
TheHacker 6.1.8.171 2007.08.21 -
VBA32 3.12.2.2 2007.08.21 -
VirusBuster 4.3.26:9 2007.08.21 -
Webwasher-Gateway 6.0.1 2007.08.21 -
Information additionnelle
File size: 53080 bytes
MD5: 80a8b72d3ee6f0c1179889a3868c70a9
SHA1: 176a620383e99e8282321b8ed29b1372664054d5

Pour ce qui est des sites qui me sont connus:
thebullshiterz.skyblog.com
jirayalee.skyblog.com
music.wanadoo.fr
webmail12.wanadoo.fr
secure.wanadoo.fr
fr.music.yahoo.com
nos-offres.wanadoo.fr
assistance.wanadoo.fr
www15.mappy.com
military-girl01.skyblog.com
webmail15b.wanadoo.fr
webmail14.wanadoo.fr
webmail16b.wanadoo.fr
ztm71.skyblog.com
stephelo71.skyblog.fr
lolatheblonde.skyblog.com
nono2210.skyblog.com
*.ogame199.de
*.douane.gouv.fr
tchat.wanadoo.fr
juju091289.skyblog.com
nono380.skyblog.com
stephelo71.skyblog.com
*.ogame316.de
*.ogame216.de
misselo7101.skyblog.com
webmail16d.wanadoo.fr
Le reste ne me dit rien!

Là je m'occupe du sponsor MSN et après de la console Java et pour répondre a Boulepate 62 j'ai supprimé tous les fichiers que tu m'as dit.

Invité

Bonsoir julien
Désolé pour le retard

Passons définitivement à la DESINFECTION :

1°- Télécharge :- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite).

Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires".
Par la suite, laisse-le avec ses réglages par défaut.
C'est tout.

Tutorial là :
https://kerio.probb.fr/Internet-c5/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-Ccleaner-nettoyeur-t242.htm

Ne pas lancer d'analyse maintenant.
Tu vas t'en servir à la fin de ce § .

1° BIS- Restauration système.
•- Clique droit sur "Poste de travail" -> "Propriétés" -> onglet "Restauration du système" -> tu coches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "Oui".
•- Arrête et puis redémarre le PC
•- Ensuite, tu décoches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "OK".

2°- Crée un "nouveau document texte".
Pour cela : clic droit de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ).
Ouvre-le, et copie/colle dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 -) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! )

(Si tu ne comprends pas, demande) !

REGEDIT 4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Browsecityinterwindow=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"inter free"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"mysearchnow.com"=-
"*.htf.free.fr"=-
"locweb.alizes.info"=-
"searchweb2.com"=-
"*.hotmail.msn.com"=-
"netbios-wait.com"=-
"www.netbios-wait.com"=-
"dns-look-up.com"=-
"www.dns-look-up.com"=-
"www.mysearchnow.com"=-
"www.searchweb2.com"=-
"lop.com"=-
"www.lop.com"=-
"searchbee.net"=-
"www.searchbee.net"=-
"netsearchsoft.com"=-
"www.netsearchsoft.com"=-

Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau "
Dans "Nom du fichier" : taper par exemple " fix1.reg "
Dans "Type de fichier" : choisir "tous les fichiers"
Clic sur "enregistrer"

L'icône de "fix1.reg" doit ressembler à cela http://www.hiboox.com/images/4905/avnoztv.jpg

3°- ATTENTION: Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre)
: http://www.coupdepoucepc.com/modules/news/article.php?storyid=253

4°- Double-clique sur " fix1.reg " pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui "

5°- Relance Hijackthis « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche les cases devant cette ligne, et ensuite Clic [Fix checked]( fixer objets):

-O2 - BHO: (no name) - {0EC146E6-4599-8852-A055-4C71E7616A6F} - (no file)
-O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
-O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
-O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
- O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
- O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
-O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
-O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
-O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
-O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
-O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime-
-O4 - HKLM\..\Run: [Browsecityinterwindow] C:\Documents and Settings\All Users\Application Data\OPTIONCAKEBROWSECITY\bait fast.exe
-O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
-O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
-O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
-O4 - HKCU\..\Run: [inter free] C:\DOCUME~1\patrick\APPLIC~1\BOOKFI~1\Build deaf.exe
-O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
-O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
-O16 - DPF: Interface Chat Wanadoo -
-O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
-O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
-O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
-O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
-O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
-O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
-O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
-O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
-O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) –
-O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE

6°- Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

Utilisation :
-Dans l'onglet "Nettoyeur" cliquer sur "Analyse". Une fois l'analyse terminée, cliquer sur "Lancer le Nettoyage".

7° - Je vois ceci ( fichage commercial du client !! )
-O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

-1- Fais ceci : Démarrer > Exécuter et taper Services.msc puis OK
Choisir le mode "Etendu" (onglets inférieurs)
Grâce à la barre de défilement (à droite) rechercher le service suivant:
France Telecom Routing Table Service (FTRTSVC)
Dans la colonne de gauche "Nom", double-clic gauche sur le service FTRTSVC pour faire apparaître "Propriétés".
- Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement ci-contre : C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC
- Sous l'onglet Général cliquer sur le bouton [Arrêter],
- Ensuite, dans le menu déroulant "Type de démarrage", sélectionne "Désactivé".
- Valide la modification par OK
- Ferme la fenêtre des Services.

-2-Vérifie ceci avec « Panneau de configuration » > [Ajout/Suppr de progr] ==> sélectionne France Telecom Routing Table Service (FTRTSVC) > clic sur [Suppr.] )

Courage, c'est long mais facile à suivre.
Bonne nuit
Al

Salut Amigo Win32.Obfuscated.en Danse

Invité

Bonsoir Al,

ça y est j'ai fait tout ce que tu m'as dit(Java,sponsor MSN,et les derniers trucs que tu m'as dit de faire)
Tout c'est bien passé mais je n'ai pas le même chemin d'accès pour le service commercial de france telecom,moi j'ai: C:\WINDOWS\System32\FTRTSVC.exe
par contre je l'ai quand même arrêté,désactivé et il n'apparait pas dans ma liste de programmes dans le panneau de configuration.
Quand j'ai redémarrer j'ai regardé combien de processus j'avais en cours et c'était marqué 58 donc moins que la dernière fois

et il me parait un peu plus rapide....par contre je suis toujours embêté avec le message suivant:
"Le processeur NTVDM à rencontré une instruction non autorisée
C:\WINDOWS\System32\wuauclt.exe
CS:pleins de chiffres IP:pleins de chiffres"

Donc voila ou j'en suis,j'attends maintenant tes nouvelles instructions:) et encore merci pour toute l'aide que tu m'apportes!!
Bonne soirée :sourire:

P.S: je te préviens que je ne suis pas sûr de pouvoir être là demain et ce weekend.

Invité

Bonsoir julien

Le message ressemble-t-il à celui-ci: http://www.pc14.fr/olive/bug.gif

Fais ceci s'il te plaît

1)- •- Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
https://2img.net/r/ihimizer/img227/9384/screenshot149ih1.gif
2)- Télécharge SDFix sur ton bureau
: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Ne fonctionne qu'en mode sans échec!

3)- Redémarre en mode sans échec.
Tutos: Comment faire pour... à la lettre C
http://forum.pcastuces.com/sujet.asp?SUJET_ID=291882
( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).

4)- Installation de SDFix :
•- Double clique sur l'icône SDFix.exe > [Exécuter] > Destination folder = C:\ > [Install] Ouvre le dossier « SDFix », qui vient d'être créé dans le répertoire C:\ > (créer un raccourci sur le bureau)
( Ou bien : Clic droit sur l'icône SDFix.exe > "extraire ici" )

5) Analyses
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< https://2img.net/r/ihimizer/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport.

•- Ouvre le dossier "SDFix" sur le bureau
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire

Presse une touche pour redémarrer en mode normal
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

6) Rapports:
- Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
- Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt" ( qui est également sur le bureau )

Termine avec un log ComboFix comme ceci :

Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.

Tu copies et colles ce rapport sur le forum

Et si après ça, tu as encore ce message "NTVDM a rencontré une instruction non autorisée", vas ici : http://visualtour.com/downloads/ et télécharge XP_FIX.exe et exécute-le.

Bonne chance
Merci

Invité

Salut Al,voila tout est fait et voici les rapports:

Rapport de Clean:

Script execute en mode sans echec
Rapport clean par Malekal_morte -
Script execute en mode sans echec 24/08/2007 a 11:52:39,56

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\pp.exe

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe
tentative de suppression de C:\WINDOWS\system32\cd_clint.dll

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Rapport de SDfix:

SDFix: Version 1.100

Run by patrick on 24/08/2007 at 12:00

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\APPS\\ActivSurf\\4448364\\Program\\backWeb-4448364.exe"="C:\\APPS\\ActivSurf\\4448364\\Program\\backWeb-4448364.exe:*:Disabled:backWeb-4448364"
"C:\\Program Files\\Jeux classiques\\Bin\\CmCenterV2.exe"="C:\\Program Files\\Jeux classiques\\Bin\\CmCenterV2.exe:*:Disabled:CmCenter Module"
"C:\\Valve\\Steam\\Steam.exe"="C:\\Valve\\Steam\\Steam.exe:*:Disabled:Steam"
"C:\\Valve\\Steam\\SteamApps\\metalpunker\\counter-strike\\hl.exe"="C:\\Valve\\Steam\\SteamApps\\metalpunker\\counter-strike\\hl.exe:*:Disabled:Half-Life Launcher"
"C:\\Documents and Settings\\patrick\\Mes documents\\MARIE_JEANNE\\Harry Potter II\\eMule\\emule.exe"="C:\\Documents and Settings\\patrick\\Mes documents\\MARIE_JEANNE\\Harry Potter II\\eMule\\emule.exe:*:Disabled:eMule"
"C:\\Documents and Settings\\patrick\\Mes documents\\MARIE_JEANNE\\Harry Potter II\\DOSSIER JULIEN\\eMule\\emule.exe"="C:\\Documents and Settings\\patrick\\Mes documents\\MARIE_JEANNE\\Harry Potter II\\DOSSIER JULIEN\\eMule\\emule.exe:*:Disabled:eMule"
"C:\\Valve\\Condition Zero\\czero.exe"="C:\\Valve\\Condition Zero\\czero.exe:*:Disabled:Condition Zero Launcher"
"C:\\Program Files\\Securitoo\\av_fw\\backweb\\1044199\\Program\\backWeb-1044199.exe"="C:\\Program Files\\Securitoo\\av_fw\\backweb\\1044199\\Program\\backWeb-1044199.exe:*:Disabled:backWeb-1044199"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

Files with Hidden Attributes:

C:\Documents and Settings\patrick\Local Settings\Application Data\Microsoft\Messenger\****************@hotmail.fr\Sharing Folders\********@hotmail.com\Thumbs.db
C:\Documents and Settings\patrick\Local Settings\Application Data\Microsoft\Messenger\************@hotmail.fr\Sharing Folders\**********@hotmail.com\Thumbs.db
C:\Program Files\Picasa2\setup.exe
C:\Documents and Settings\patrick\Application Data\Microsoft\Office\Shortcut Bar\Off2.tmp
C:\Program Files\InterActual\InterActual Player\iti185.tmp

Finished

Invité

rapport de Combofix:

ComboFix 07-08-17.2 - "patrick" 2007-08-24 12:19:27.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.70 [GMT 2:00]

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\fvzwbd.dat
C:\WINDOWS\system32\fvzwbd.exe
C:\WINDOWS\system32\fvzwbd_nav.dat
C:\WINDOWS\system32\fvzwbd_navps.dat
C:\WINDOWS\system32\nvs2.inf

((((((((((((((((((((((((( Files Created from 2007-07-24 to 2007-08-24 )))))))))))))))))))))))))))))))

2007-08-24 12:18 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-24 11:59 <REP> d-------- C:\WINDOWS\ERUNT
2007-08-17 14:04 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-17 13:56 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files
2007-08-17 12:54 <REP> d-------- C:\Program Files\CodeStuff
2007-08-16 17:30 <REP> d-------- C:\Program Files\CCleaner
2007-08-14 19:19 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-14 19:19 3,290 --a------ C:\WINDOWS\system32\gnc.exe
2007-08-14 18:41 <REP> d-------- C:\Program Files\Navilog1
2007-08-12 11:43 <REP> d-------- C:\hijackthis

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-23 13:19 --------- d-------- C:\Program Files\MessengerPlus! 3
2007-08-22 18:16 --------- d-------- C:\Program Files\MSN Messenger
2007-08-20 18:15 --------- d-------- C:\Program Files\Incomplete
2007-08-20 17:48 --------- d-------- C:\Program Files\LimeWire
2007-08-17 12:41 --------- d-------- C:\Program Files\BitComet
2007-07-12 15:15 --------- d-------- C:\Program Files\Wanadoo
2006-07-13 11:43 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-10-08 12:24]
"F-Secure TNB"="C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" [2003-05-09 11:30]
"EPSON Stylus CX3200"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2002-07-01 05:05]
"FSASWREG"="C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe" [2004-11-04 12:03]
"F-Secure Manager"="C:\Program Files\Securitoo\av_fw\Common\FSM32.exe" [2003-02-19 06:01]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2004-10-05 17:00]
"WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" []
"MW1HelperStartUp"="C:\PROGRA~1\MAGICW~1\MW1HEL~1.exe" []
"EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2001-08-24 10:40]
"AtiPTA"="atiptaxx.exe" [2001-09-15 02:15 C:\WINDOWS\system32\atiptaxx.exe]
"ACTIVBOARD"="C:\Apps\ActivBoard\MMKeybd.exe" [2001-05-03 19:41]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]
"Update Service"="C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe" []
"STYLEXP"="C:\Program Files\TGTSoft\StyleXP\StyleXP.exe" []
"Registry Cleaner"="C:\Program Files\Registry Cleaner Trial\regclean.exe" []
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"MoneyAgent"="C:\Program Files\Microsoft Money\System\Money Express.exe" [1999-08-04 01:00]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACTIVBOARD]
C:\Apps\ActivBoard\MMKeybd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ActivSurf]
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Browsecityinterwindow]
C:\Documents and Settings\All Users\Application Data\OPTIONCAKEBROWSECITY\bait fast.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CursorXP]
"C:\Program Files\CursorXP\CursorXP.exe" -s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EM_EXEC]
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\inter free]
C:\DOCUME~1\patrick\APPLIC~1\BOOKFI~1\Build deaf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
"C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
"C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent]
"C:\Program Files\Microsoft Money\System\Money Express.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MW1HelperStartUp]
C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon]
C:\PROGRA~1\Wanadoo\CnxMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

R0 FSDFW;F-Secure Distributed Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys
R0 portio;portio;C:\WINDOWS\system32\DRIVERS\portio.sys
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys
R2 BackWeb Client - 1044199;Securitoo AntiVirus Firewall;C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
R2 F-Secure Filter;F-Secure File System Filter;\??\C:\Program Files\Securitoo\av_fw\Anti-Virus\Win2K\FSfilter.sys
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\C:\Program Files\Securitoo\av_fw\Anti-Virus\Win2K\FSgk.sys
R2 F-Secure Recognizer;F-Secure File System Recognizer;\??\C:\Program Files\Securitoo\av_fw\Anti-Virus\Win2K\FSrec.sys
R2 FSpm;F-Secure Policy Manager;\??\C:\Program Files\Securitoo\av_fw\Common\FSPM.SYS
R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\Securitoo\av_fw\fswsclds.exe
R2 nhksrv;Netropa NHK Server;C:\Apps\ActivBoard\nhksrv.exe
R3 CVIAAUD;NEC VIA 3D Environmental Audio;C:\WINDOWS\system32\drivers\cviaaud.sys
R3 CVIAHALA;CVIAHALA;C:\WINDOWS\system32\drivers\cviahal.sys
S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\System32\drivers\CDANT.SYS
S3 naecd;naecd;\??\C:\DOCUME~1\patrick\LOCALS~1\Temp\naecd.sys
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys

Contents of the 'Scheduled Tasks' folder
2007-08-23 17:00:00 C:\WINDOWS\Tasks\AFB35FC29180D14A.job - c:\docume~1\patrick\applic~1\bookfi~1\bin bait flag.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
Rootkit scan 2007-08-24 12:27:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-24 12:32:02
C:\ComboFix-quarantined-files.txt ... 2007-08-24 12:31

--- E O F ---

Voila maintenant j'attends voir si le message "NTVDM a rencontré une instruction non autorisée".
et à la prochaine:)
merci

Bonne après-midi :sourire:

Invité

Salut julien,

C'est bon.

As-tu eu à exécuter cette procédure [ Et si après ça, tu as encore ce message "NTVDM a rencontré une instruction non autorisée", vas ici : http://visualtour.com/downloads/ et télécharge XP_FIX.exe et exécute-le.] ? ==> je ne le lis pas.

De même, je ne comprends pas si tu as encore ce message intempestif; ou si tu attends pour voir .

Merci & à+..
Al

Invité

Oui j'ai du éxécuté xp_fix mais depuis tout à l'heure ce message n'est pas apparu donc je pense que c'est bon :)merci
par contre est-ce normal que j'ai 58processus en cours au démarrage?ça me paraît beaucoup....

Hello Julien

Tu peux jeter SDfix, combofix, Clean.

Rends toi sur ce site
http://www.virustotal.com/fr/

En haut à droite clic sur "choisir"
Tu vas dans C:, windows, system32 tu cherches le processus ci-dessous et tu clic sur "ouvrir"

C:\WINDOWS\system32\gnc.exe

dès que c'est fait, clic sur "envoyer le fichier"
Tu attends un peu qu'il analyse ton fichier ça peut duré plusieurs minutes et colle le rapport ici une fois qu'il a terminé stp

Fais la même chose avec celui-ci

C:\Program Files\Fichiers communs\FDEUnInstaller.exe

Puis remet un rapport hijackthis et dis-nous si tu utilises encore un produit Symantec, on va voir ce que l'on peut faire pour ton nombre élévé de processus $clin d\\'oeil$

Invité

Salut Amigo,

Bien vu pour gnc.exe ==> à supprimer .

J'ai été distrait par la recherche sur FDEUnInstaller.exe ; pour laquelle je n'ai rien trouvé. ===> EDIT : Lire ceci : http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/autre/fdeuninstallerexe__fichier_inconnu-325788/messages-1.html

Par contre, j'aimerais que julien ajoute l'analyse de ce fichier Process.exe chez VirusTotal :
C:\WINDOWS\system32\Process.exe

Merci et bonne soirée.

Aujourd'hui, enfin une belle journée.
J'ai pressé ma préparation macérée de vin de prunes sauvages + ajout de 2.5 Kg de mûres pour faciliter la clarification du vin.
Ça bouillonne dur ( dégagement de CO2 ).
super

Al.

Invité

Bonjour,voici les rapports de VirusTotal:

Fichier gnc.exe reçu le 2007.08.25 12:29:55 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/32 (12.5%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.24 -
Avast 4.7.1029.0 2007.08.25 -
AVG 7.5.0.484 2007.08.24 -
BitDefender 7.2 2007.08.25 -
CAT-QuickHeal 9.00 2007.08.25 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.25 -
eSafe 7.0.15.0 2007.08.23 suspicious Trojan/Worm
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.25 -
F-Prot 4.3.2.48 2007.08.24 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.25 -
Kaspersky 4.0.2.24 2007.08.25 -
McAfee 5105 2007.08.24 -
Microsoft 1.2803 2007.08.25 -
NOD32v2 2483 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 -
Prevx1 V2 2007.08.25 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.21.0 2007.08.25 -
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.25 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.24 -
Webwasher-Gateway 6.0.1 2007.08.25 Win32.Malware.gen!92 (suspicious)
Information additionnelle
File size: 3290 bytes
MD5: 543542133329c2ca309f61b8ac47e911
SHA1: 1139261784cecb7614de3862e7f725bf94f1876b
packers: UPX
packers: UPX
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Invité

le rapport de FDEUninstaller:

Fichier FDEUnInstaller.exe reçu le 2007.08.25 12:37:08 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.24 -
Avast 4.7.1029.0 2007.08.25 -
AVG 7.5.0.484 2007.08.24 -
BitDefender 7.2 2007.08.25 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.25 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.25 -
F-Prot 4.3.2.48 2007.08.24 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.25 -
Kaspersky 4.0.2.24 2007.08.25 -
McAfee 5105 2007.08.24 -
Microsoft 1.2803 2007.08.25 -
NOD32v2 2483 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 -
Prevx1 V2 2007.08.25 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.21.0 2007.08.25 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.25 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.24 -
Webwasher-Gateway 6.0.1 2007.08.25 -
Information additionnelle
File size: 278528 bytes
MD5: 9ccdbc6c324cbbacd2f395004e653018
SHA1: 5cc75dcc90405dcc5e84d35c84948b1da7271c3a

le rapport de process.exe:

Fichier Process.exe reçu le 2007.08.25 12:39:35 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/32 (21.88%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.25.0 2007.08.24 Win-AppCare/PrcViewer.53248
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.24 -
Avast 4.7.1029.0 2007.08.25 -
AVG 7.5.0.484 2007.08.24 -
BitDefender 7.2 2007.08.25 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.25 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.25 High threat detected
Fortinet 2.91.0.0 2007.08.25 Misc/PrcViewer
F-Prot 4.3.2.48 2007.08.24 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.25 -
Kaspersky 4.0.2.24 2007.08.25 -
McAfee 5105 2007.08.24 potentially unwanted program PrcViewer
Microsoft 1.2803 2007.08.25 -
NOD32v2 2483 2007.08.24 Win32/PrcView
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 Application/Processor
Prevx1 V2 2007.08.25 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.21.0 2007.08.25 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.25 Aplicacion/Processor.20
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.24 -
Webwasher-Gateway 6.0.1 2007.08.25 -

Invité

et voici mon rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:03, on 25/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\QuickTime\qttask.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Documents and Settings\patrick\Bureau\logiciels de nettoyage et de sécurité de l'ordinateur\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [Browsecityinterwindow] C:\Documents and Settings\All Users\Application Data\OPTIONCAKEBROWSECITY\bait fast.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [inter free] C:\DOCUME~1\patrick\APPLIC~1\BOOKFI~1\Build deaf.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm
O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm
O8 - Extra context menu item: Traduire - C:\Program Files\PROMT98\promtie4\translat.htm
O8 - Extra context menu item: Traduire dans WebView - C:\Program Files\PROMT98\promtie4\webview.htm
O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/patrick/Mes%20documents/DOSSIER%20JULIEN/MES%20PHOTOS/AIR%20SOFT%20GUN/MARUI_fichiers/V_1827_2286_1047721541.jpe

--
End of file - 10411 bytes

Par contre je ne sais pas ce que sait qu'un produit Symantec
hein

le nom me dit quelque chose mais je sais pas ce que c'est exactement,en regardant sur google ça m'a l'air d'être un antivirus ou un outil de protection contre les virus...mon antivirus c'est Securitoo Antivirus Firewall,il vient de Orange.
Je vous souhaite à tous deux une bonne après-midi et une bonne dégustation à Al pour son vin^^lol et merci pour l'attention que vous portez à mon problème :sourire:

Hello tous les deux

Tu peux supprimer pour commencer :
- C:\WINDOWS\system32\Process.exe

¤ Je te conseille de désinstaller la barre d'outil MSN (MSN Toolbar) vu que tu as celle de Google inutile d'en avoir deux et de plus si tu n'utilises pas celle de Google n'hésite pas à la virer aussi ça te permettra de gagner trois processus si mon calcul est correct.

¤ Clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste les lignes ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle les sur "désactivé"

- BitDefender Communicator
- SymWMI Service
- Google Updater Service
- BitDefender Scan Server

¤ Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [Browsecityinterwindow] C:\Documents and Settings\All Users\Application Data\OPTIONCAKEBROWSECITY\bait fast.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [inter free] C:\DOCUME~1\patrick\APPLIC~1\BOOKFI~1\Build deaf.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Redémarre et dis nous ce que ça donne $clin d\\'oeil$

T'as pas du jus d'raisin Amigo car le vin Win32.Obfuscated.en 157162

Invité

Bonjour,

Voilà j'ai fait ce que tu m'as dit,et au redémarrage j'avais 49processus en cours avec 206Mo de charge dédiée.
ça va déjà mieux niquel

(Mais dans les 3fichiers que j'ai analyser hier avec VirusTotal il y en avait 2 d'inféctés si je ne me trompe pas?)

Invité

Salut julien,

C'est vrai, mais on t'avait répondu

Citation :: Bien vu pour gnc.exe ==> à supprimer .

Règle des forums : Généralement, il faut exécuter les recommandations entièrement, et au fur et à mesure ( = dans l'ordre ) .
Y revenir, alors qu'entretemps il y a eu diverses utilisations du PC par l'internaute, risque de ne pas porter ses fruits !

Bon dimanche.
Al.

Invité

En effet j'ai sauté une ligne,autant pour moi nul

Là c'est bon j'ai supprimé gnc.exe et j'ai redémérrer et j'ai 57processus en cours avec 227Mo de charge dédiée mais le nombre de processus oscille un peu au démarrage jusqu'à se stabilisé à 57.
Voilà,et la prochaine fois je lirais bien attentivement chaque mot!!
Bonne soirée bye

Invité

Salut julien,
Non, il n'y a rien avec ça $clin d\\'oeil$

Amigo,

Citation :: T'as pas du jus d'raisin Amigo car le vin

Non, le jus excédentaire ( fonction capacité des touries ) c'est pour mon épouse :'(:
Je préfère le vin, c'est meilleur pour la santé ; c'est ma religion qui m'y a conduit alors que j'étais "enfant de chœur" comme la plupart des enfants belges de ma génération. Je n'ai jamais vu un religieux en mauvaise santé ! content

Tu mets bien dans ta tête que c'est un médicament. :sourire:

Bonne soirée
Al.

On va proscrire ça pour la Sécu lol!

Comme on dit " l'alcool ça conserve" ! Mais bon j'aime pas, j'préfére des trucs qui font des bulles, plein de sucre et font des trous dans l'estomac, je ne citerais pas de marque non

Invité

lol moi non lus je n'aime pas le vin,je préfère les boissons gazeuses comme toi boulepate62 :D c'est bien meilleur :p (sauf pour les dents mais bon...)
sinon pour la suite de mon problème,vous avez des nouvelles manipulations à me faire faire?
bonne soirée à vous deux bye

Où en est ton problème ?

Je te conseille de régler tes services XP car à mon goût tu as encore trop de processus
https://kerio.probb.fr/Windows-c1/Apprendre-a-mieux-maitriser-Windows-f4/Regler-les-services-Windows-2000-XP-et-Vista-t7.htm

Invité

Bonjour,
je suis allé sur le lien et j'ai désactivé les applications conseillés comme il l'est dit ensuite j'ai redemarré et au démarrage j'ai 53processus,je n'ai pas vraiment l'impression que ça ai changé quelque chose..?j'éspère que ça a bien sauvegardé ce que j'ai changé,je faisais "appliqué" puis quand j'ai tout fini,j'ai fait OK et j'ai fermé la fenêtre.
Vous en pensez quoi?

Hello Julien

Si tu as bien choisis "type de démarrage : désactivé" au prochain démarrage le service arrêté n'aura pas redémarré.

ça me semble encore énorne, j'vois pas comment tu fais pour en avoir 53 ! Remet un rapport hijackthis fait en mode normal stp

Invité

Amigo,

Pendant qu’un service est en file d’attente afin d’être activé, vous n’aurez pas la possibilité de désactiver le service.
Veuillez noter que même si le service est immédiatement affiché comme désactivé, la désactivation du service peut prendre jusqu’à un jour ouvrable.
Pendant cette période de temps, le service continuera de fonctionner normalement.
Si vous désirez interrompre immédiatement le service, vous devriez supprimer les fichiers associés de votre site web.
Par exemple, une fois que vous avez désactivé "ASP Sécurisé (SSL)", enlevez tous vos fichiers ASP de votre répertoire "/secure" pour interrompre immédiatement le service.

À votre service julien content

Bonne nuit
Al.

Hello Afi

Oui, mais j'espère pour lui que depuis l'autre jour il a redémarré son PC lol!

donc après redémarrage, les services sont bien désactivés

Citation :: Si vous désirez interrompre immédiatement le service, vous devriez supprimer les fichiers associés de votre site web.

Invité

Salut,oui j'ai bien fait comme tu l'as dit et j'ai bien redemarré mon ordi(même juste après!).
Donc j'ai fait un nouveau scan avec hijackthis et voilà le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:17, on 31/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Apps\ActivBoard\OSD.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\patrick\Bureau\logiciels de nettoyage et de sécurité de l'ordinateur\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm
O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm
O8 - Extra context menu item: Traduire - C:\Program Files\PROMT98\promtie4\translat.htm
O8 - Extra context menu item: Traduire dans WebView - C:\Program Files\PROMT98\promtie4\webview.htm
O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/patrick/Mes%20documents/DOSSIER%20JULIEN/MES%20PHOTOS/AIR%20SOFT%20GUN/MARUI_fichiers/V_1827_2286_1047721541.jpe

--
End of file - 8313 bytes

Moi non plus je n'ai pas très bien compris ce que tu as dit Al,d'ailleurs ton exemple ne figure même pas dans ma liste de services..?
je suis aussi allé faire un tour dans mon gestionnaire de tâches et parmi les processus je vois BackWeb avec des numéros ou bien encore TaskBarIcon.exe ces noms là me paraissent un peu bizzard mais peut-être que je me trompe...

Invité

J'ai trouvé un site où quelqu'un est un peu dans le même cas que moi
le lien c'est :
J'ai donc lancé Ccleaner et je me suis "amusé" à écrire ce qui se lançait au démarrage de mon ordi d'après Ccleaner:
HKCU:Run ctfmon.exe
HKCU:Run MSMSGS
HKCU:Run MoneyAgent
HKCU:Run LogitechSoftwareUpdate
HKLM:Run F-Secure TNB
HKLM:Run EPSON Stylus CX3200
HKLM:Run FSASWREG
HKLM:Run F-secure Manager
HKLM:Run WOOTASKBARICON
HKLM:Run EM_EXEC
HKLM:Run AtiPTA
HKLM:Run ACTIVBOARD
HKLM:Run QuickTime Task
HKLM:Run LVCOMSX
HKLM:Run LogitechVideoTray
HKLM:Run LogitechVideoRepair
HKLM:Run ActivSurf
HKLM:Run TkBellExe
HKLM:Run NeroFilterCheck
Là je vais voir avec Ewido ce qu'il me dit et je vous remettrait le rapport(j'éspère que ça pourra vous aidé...)

Invité

oups petit problème avec le lien:
[/url]http://forum.telecharger.01net.com/telecharger/windows__logiciels/windows/beaucoup_de_processus_en_cours-408926/messages-1.html/[url]
j'éspère que ça marche j'ai un peu de mal à mettre des liens...

Invité

tout compte fait j'ai trouvé sur un site comment faire avec spybot,voila le rapport de ce qui se lance au démarrage:

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-01-18 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-06-20 Includes\Cookies.sbi
2007-05-30 Includes\Dialer.sbi
2007-06-20 Includes\DialerC.sbi
2007-06-20 Includes\Hijackers.sbi
2007-06-20 Includes\HijackersC.sbi
2007-06-20 Includes\Keyloggers.sbi
2007-06-20 Includes\KeyloggersC.sbi
2007-06-20 Includes\Malware.sbi
2007-06-20 Includes\MalwareC.sbi
2007-03-21 Includes\PUPS.sbi
2007-06-20 Includes\PUPSC.sbi
2007-06-20 Includes\Revision.sbi
2007-05-30 Includes\Security.sbi
2007-06-20 Includes\SecurityC.sbi
2007-06-20 Includes\Spybots.sbi
2007-06-20 Includes\SpybotsC.sbi
2005-02-17 Includes\Tracks.uti
2007-06-20 Includes\Trojans.sbi
2007-06-20 Includes\TrojansC.sbi
2007-06-06 Plugins\TCPIPAddress.dll

Located: HK_LM:Run, ACTIVBOARD (couleur jaune)
command: C:\Apps\ActivBoard\MMKeybd.exe
file: C:\Apps\ActivBoard\MMKeybd.exe
size: 159744
MD5: fdba764cf4b999ed1cc17ec33520d772

Located: HK_LM:Run, ActivSurf
command: C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
file: C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
size: 16384
MD5: e621344d140f35fd871a0016a604a91b

Located: HK_LM:Run, AtiPTA (couleur jaune)
command: atiptaxx.exe
file: C:\WINDOWS\system32\atiptaxx.exe
size: 245760
MD5: b585d826d2d7dee412bd0eb77fcb7cdf

Located: HK_LM:Run, EM_EXEC (couleur jaune)
command: C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
file: C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
size: 35328
MD5: 57e2fb5840c197d2014dfc9b4f820f19

Located: HK_LM:Run, EPSON Stylus CX3200
command: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
file: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
size: 74752
MD5: 7984d2a1b7a3a691889c53708fe450bf

Located: HK_LM:Run, FSASWREG
command: "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"
file: C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe
size: 16451
MD5: a34dcefe6a1dfd0a4b9dc341587ba7d3

Located: HK_LM:Run, F-Secure Manager (couleur verte)
command: "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
file: C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
size: 110672
MD5: af1a4ca984646bf4cfbe2d29e4855f24

Located: HK_LM:Run, F-Secure TNB (couleur verte)
command: "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
file: C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe
size: 647168
MD5: 78a93e3e4f3753f41a1ee6637813dee1

Located: HK_LM:Run, LogitechVideoRepair (couleur jaune)
command: C:\Program Files\Logitech\Video\ISStart.exe
file: C:\Program Files\Logitech\Video\ISStart.exe
size: 458752
MD5: 3c0ee706ceb7e9a154bf8e7749ca5a91

Located: HK_LM:Run, LogitechVideoTray (couleur jaune)
command: C:\Program Files\Logitech\Video\LogiTray.exe
file: C:\Program Files\Logitech\Video\LogiTray.exe
size: 217088
MD5: 2d3bcca5c7ca55fedd60e3336d3a92af

Located: HK_LM:Run, LVCOMSX (couleur jaune)
command: C:\WINDOWS\system32\LVCOMSX.EXE
file: C:\WINDOWS\system32\LVCOMSX.EXE
size: 221184
MD5: 5ba8a7da5d0573f7923e02b260aad2f1

Located: HK_LM:Run, NeroFilterCheck (couleur jaune)
command: C:\WINDOWS\system32\NeroCheck.exe
file: C:\WINDOWS\system32\NeroCheck.exe
size: 155648
MD5: 3e4c03cefad8de135263236b61a49c90

Located: HK_LM:Run, QuickTime Task (couleur jaune)
command: "C:\Program Files\QuickTime\qttask.exe" -atboottime
file: C:\Program Files\QuickTime\qttask.exe
size: 98304
MD5: 9b4c1812595c389ab9ccf1ff3b315248

Located: HK_LM:Run, TkBellExe (couleur jaune)
command: "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
file: C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
size: 180269
MD5: f9b47f830dd55fedd6ef27d063c29a42

Located: HK_LM:Run, WOOTASKBARICON
command: C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
file: C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
size: 61440
MD5: f9710a77123cc3fd09d062f2af33e473

Located: HK_CU:Run, ctfmon.exe
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 64e41e8fee655b03e3f19ded21ba5118

Located: HK_CU:Run, LogitechSoftwareUpdate (couleur jaune)
command: "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
file: C:\Program Files\Logitech\Video\ManifestEngine.exe
size: 196608
MD5: d679346402cbf2330cad1fcf815c6524

Located: HK_CU:Run, MoneyAgent (couleur jaune)
command: "C:\Program Files\Microsoft Money\System\Money Express.exe"
file: C:\Program Files\Microsoft Money\System\Money Express.exe
size: 127040
MD5: 5360ef2176959beea56ec84c64b09414

Located: HK_CU:Run, MSMSGS (couleur jaune)
command: "C:\Program Files\Messenger\msmsgs.exe" /background
file: C:\Program Files\Messenger\msmsgs.exe
size: 1694208
MD5: 74e6e96c6f0e2eca4edbb7f7a468f259

Located: Démarrage (désactivé), Lancement rapide d'Adobe Reader (DISABLED)
command: C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE
file: C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE
size: 29696
MD5: 43362b96870ce8649f4f2ec893da93f0

Located: System.ini, crypt32chain
command: crypt32.dll
file: crypt32.dll

Located: System.ini, cryptnet
command: cryptnet.dll
file: cryptnet.dll

Located: System.ini, cscdll
command: cscdll.dll
file: cscdll.dll

Located: System.ini, ScCertProp
command: wlnotify.dll
file: wlnotify.dll

Located: System.ini, Schedule
command: wlnotify.dll
file: wlnotify.dll

Located: System.ini, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll

Located: System.ini, SensLogn
command: WlNotify.dll
file: WlNotify.dll

Located: System.ini, termsrv
command: wlnotify.dll
file: wlnotify.dll

Located: System.ini, WgaLogon
command: WgaLogon.dll
file: WgaLogon.dll

Located: System.ini, wlballoon
command: wlnotify.dll
file: wlnotify.dll

J'ai précisé de quellel couleur les noms apparaissait dans spybot et là où y a pas de couleur précisé bah c'est que c'est blanc...par contre je ne sais pas si y a des choses à modifié sur ça...

» Trojan win32 obfuscated ...
» trojan.win.32.obfuscated.en
» win32/cryptexe
» email-worm.win32.runouce.b