problèmes de restrictions et publicités intempestives

Bonsoir, j'ai besoin d'un coup de main!!! Je n'y connais pas grand chose en informatique et suis un peu perdue! Je vous explique mon problème: je ne peux plus accéder à certaines fonctions du PC (comme le panneau de configuration par exemple) et un message d'erreur apparaît:"opération annulée en raison de restriction en vigueur sur l'ordinateur. Contactez votre administrateur système" (seulement c'est moi l'administrateur). D'autres messages surviennent n'importe quand: "La modification du Registre a été désactivée par votre administrateur". Un autre message encore en Anglais pour me faire acheter un anti-spyware et de là des fenêtres publicitaires m'assaillent! Merci beaucoup! (J'essaie de vous poster les logs clean, avg et hijackthis de suite)

J'ai un autre souci je ne parviens pas à vous copier/coller les logs! "Coller" et grisé!!! Si vous avez une astuce...

Bonsoir electra

Bienvenue sur ce forum.

Essaie les raccourcis clavier. Tu ouvres les rapports (avec le bloc-notes), et tu appuies sur la touche CTRL+A (pour tout sélectionner), CTRL+C pour copier, et enfin CTRL+V pour coller dans le forum.

Qu'est ce qui est grisé exactement ?

10/11/2001 a 5:59:12,65

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\pp.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\SpoonUninstall.exe FOUND
C:\WINDOWS\system32\printer.exe FOUND
C:\WINDOWS\system32\WinAvXX.exe FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 05:51:15 10/11/2001

+ Résultat de l'analyse:



C:\Documents and Settings\Patrice et Amélie\Application Data\install_fr[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.z : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Patrice et Amélie\Bureau\Nouveau dossier\Tirez votre copie de Windows 100% véritable en 2 secondes\Divers\Couteau suisse Xp.exe/RockXP4.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{55E674FF-8708-4279-93BA-E6EAFEB3F952}\RP88\A0041565.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

Logfile of HijackThis v1.99.1
Scan saved at 05:57:08, on 10/11/2001
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\WinAvXX.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\WINDOWS\System32\UAService7.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\Documents and Settings\Patrice et Amélie\Mes documents\hijackthis\aidoforum.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtorr.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtorr.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
O4 - HKLM\..\Run: [DoNotDelete] C:\WINDOWS\System32\explore.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Système d'événements de COM+ EventSystemSCardDrv (EventSystemSCardDrv) - Unknown owner - C:\WINDOWS\System32\ansix.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: Windows Notification Service (Winnotify) - Unknown owner - C:\WINDOWS\System32\winntify.exe (file missing)

et encore merci!!!

Bonjour electra

Ton système n'est pas à jour, pas d'antivirus, pas de pare-feu d'apparent. Ton pc est extrêmement vulnérable à toutes les cochonneries infectieuses du net.

Et ton rapport présente en effet de nombreuses traces d'infection. Je suppose qu'on ne voit là que la partie apparente de l'iceberg.

Peux tu m'expliquer ce que tu fais sur le net avec un tel système ?

On va continuer à faire le point, sans pour l'instant réellement désinfecter, c'est pour voir les infections différentes présentes, afin de déterminer dans quel ordre on va les traiter.

Télécharge SmitfraudFix sur ton bureau.

[*:3o20kilr]Décompresse totalité de l'archive smitfraudfix.zip dans un dossier dédié sur ton bureau. [/*:m:3o20kilr]
[*:3o20kilr]Double-clique sur smitfraudfix.cmd[/*:m:3o20kilr]
[*:3o20kilr]Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.[/*:m:3o20kilr]
[*:3o20kilr]Poste le rapport sur le forum dans ta prochaine réponse.
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.[/*:m:3o20kilr]

Télécharge Navilog1 de Il-Mafioso et enregistre-le sur ton bureau.

[*:3o20kilr]Ensuite double clique sur navilog1.exe pour lancer l'installation.[/*:m:3o20kilr]
[*:3o20kilr]Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).[/*:m:3o20kilr]
[*:3o20kilr]Laisse-toi guider. Au menu principal, choisis 1 et valide.
Patiente jusqu'au message : *** Analyse Termine le ..... ***[/*:m:3o20kilr]
[*:3o20kilr]Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.[/*:m:3o20kilr]
[*:3o20kilr]Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)[/*:m:3o20kilr]

Search Navipromo version 3.1.2 commencé le 10/11/2001 à 18:00:48,03

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 27.09.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Patrice et Am‚lie\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***


*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) :

C:\WINDOWS\system32\aocicqejdr.dat
C:\WINDOWS\system32\aocicqejdr.exe
C:\WINDOWS\system32\aocicqejdr_nav.dat
C:\WINDOWS\system32\aocicqejdr_navps.dat

Processus caché(s) :

C:\WINDOWS\system32\aocicqejdr.exe


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\Documents and Settings\Patrice et Am‚lie\local settings\application data *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\aocicqejdr.dat trouvé !


3)Recherche Certificats :

Certificat Egroup absent !

SmitFraudFix v2.233

Rapport fait à 17:53:57,60, 10/11/2001
Executé à partir de C:\Documents and Settings\Patrice et Am‚lie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\WinAvXX.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\windows\system32\aocicqejdr.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

192.168.200.3 download.microsoft.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 go.microsoft.com
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 office.microsoft.com
192.168.200.3 support.microsoft.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\vtr???.dll PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Patrice et Am‚lie


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Patrice et Am‚lie\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\PATRIC~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PATRIC~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\systems.txt"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Ethernet basée 3C900TPO 3Com (générique) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{04770C31-7FA4-42B5-9779-881C10749D26}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{04770C31-7FA4-42B5-9779-881C10749D26}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{04770C31-7FA4-42B5-9779-881C10749D26}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


*** Analyse Terminé le 10/11/2001 à 18:07:30,62 ***

cela fait une semaine que j'ai installée internet, j'espere que le probleme n'ai pas trop grave ?je vous remerci d'avance!!!

Re electra,

tu ne m'as pas répondu sur l'absence de pare-feu, d'antivirus, de mises à jour ?

Ah si, je n'avais pas vu. Eh bien, le souci ne semble pas trop grave, mais il y a du travail un petit peu pour te désinfecter.

bon, au travail. Suis pas à pas la manipulation suivante.


Rends toi dans ton menu démarrer>Tous les programmes

[*:2zlbolk2]Fais un clic-droit sur Démarrage et sélectionne Explorer[/*:m:2zlbolk2]
[*:2zlbolk2]L'explorateur va s'ouvrir, supprime les fichiers suivants :
system.exe et autorun.exe[/*:m:2zlbolk2]
[*:2zlbolk2]Ferme la fenêtre. [/*:m:2zlbolk2]
[*:2zlbolk2]Renouvelle l'opération, mais au clic-droit sélectionne Explorer tous les utilisateurs[/*:m:2zlbolk2]
[*:2zlbolk2]Supprime les fichiers suivants :
system.exe et autorun.exe[/*:m:2zlbolk2]
[*:2zlbolk2]Ferme la fenêtre. [/*:m:2zlbolk2]
[*:2zlbolk2]Vide ta corbeille. [/*:m:2zlbolk2]

Relance un scan HijackThis

[*:2zlbolk2]Clique sur Do a system scan only et coche les lignes ci-dessous :[/*:m:2zlbolk2]

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

[*:2zlbolk2]Ferme toutes les fenêtres sauf HijackThis et Fix Checked.[/*:m:2zlbolk2]

Double-clique sur le raccourci Navilog1 présent sur le bureau

[*:2zlbolk2]Laisse-toi guider. Au menu principal, choisis 2 et valide.
Patiente jusqu'au message : *** Analyse Termine le ..... ***[/*:m:2zlbolk2]
[*:2zlbolk2]Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.[/*:m:2zlbolk2]
[*:2zlbolk2]Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)[/*:m:2zlbolk2]

Télécharge R-Hosts 0.1 de S!Ri (pour XP) :

[*:2zlbolk2]Clique sur download[/*:m:2zlbolk2]
[*:2zlbolk2]Déconnecte toi du net[/*:m:2zlbolk2]
[*:2zlbolk2]Double-clique sur RHosts.exe[/*:m:2zlbolk2]
[*:2zlbolk2]Clique sur Restaurer[/*:m:2zlbolk2]
[*:2zlbolk2]A la demande de confirmation, clique sur Ok[/*:m:2zlbolk2]
[*:2zlbolk2]Ferme la fenêtre[/*:m:2zlbolk2]

Redémarre en mode sans échec :
(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

aide visuelle.



Double-clique sur smitfraudfix.cmd

[*:2zlbolk2]Sélectionne 2 pour supprimer les fichiers responsables de l'infection.[/*:m:2zlbolk2]
[*:2zlbolk2]A la question Voulez-vous nettoyer le registre ? réponds O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. [/*:m:2zlbolk2]
[*:2zlbolk2]A la question Corriger le fichier infecté ? réponds O (oui) pour remplacer le fichier corrompu.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention : l'option 2 de l'outil supprime le fond d'écran ![/*:m:2zlbolk2]

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Exécute à nouveau l'outil clean.

[*:2zlbolk2]Cela va ouvrir une fenêtre noire. Un menu va apparaître, choisis l'option 2.[/*:m:2zlbolk2]
[*:2zlbolk2]L'analyse va commencer, cela peut durer quelques minutes, Clean va travailler.[/*:m:2zlbolk2]
[*:2zlbolk2]Un rapport Va etre généré, colle le contenu du rapport à la suite[/*:m:2zlbolk2]

Avec les rapport générés, reposte un log hijackthis.

je suis desolé mais je ne trouve pas autorun.exe

Re electra

Il est possible que tu ne trouves pas tous les éléments, en ce cas ne t'en inquiète pas, tu poursuis la procédure jusqu'au bout, et tu m'indiqueras en postant tes rapports ce que tu as pu faire ou non.

A plus tard

Salut Gof! Je me permet de m'insérer dans la discussion car je suis la belle-soeur d'Electra c'est moi qui l'ai aidé à s'inscrire sur le forum et je l'aide en ce moment à distance (par téléphone) à faire les manipulations que tu lui demandes... Avant qu'elle ne t'envoie les rapports qu'elle a réussi à obtenir, je préfère t'expliquer ce qui n'a pas marché (pendant qu'elle tente de nouveau) car même à deux on n'est pas très douées :roll: pour Smitfraud, ça n'a pas fonctionné: elle n'a pas eu le temps de répondre oui à la question, le nettoyage du disque s'est mis en route et plus rien ne s'est passé, et c'était écrit "fichier introuvable". Pour clean, c'est pareil, rien ne se passe après la validation de la touche2 et le message d'erreur de modification du registre apparaît. En plus elle a pas trouvé "autorun.exe" dans "explorer" ni "system.exe" dans "explorer tous les utilisateurs" ni "O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1" . En gros on n'a pas pu faire grand chose sur ce que tu voulais... Voilà, pour Smitfraud et Clean je sais pas si c'est nous qui avons mal fait! Elle te transmettra les rapports obtenus dès que possible, merci, je vous laisseensenoir:

Bonjour ptit-bouchon

D'accord, faites ce que vous pouvez, postez ensuite les rapports que vous aurez obtenues, et on avisera

Clean Navipromo version 3.1.2 commencé le 10/11/2001 à 20:05:23,98

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 27.09.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000

Mode suppression automatique


*** Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

C:\WINDOWS\system32\aocicqejdr.dat supprimé !
C:\WINDOWS\system32\aocicqejdr.exe supprimé !
C:\WINDOWS\system32\aocicqejdr_nav.dat supprimé !
C:\WINDOWS\system32\aocicqejdr_navps.dat supprimé !

** 2ème passage **

*** Suppression avec Backups résultats GenericNaviSearch ***

* Scan C:\WINDOWS\system32 *


* Scan C:\Documents and Settings\Patrice et Am‚lie\local settings\application data *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Patrice et Am‚lie\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Patrice et Am‚lie\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok


*** Certificats ***

Certificat Egroup absent !



*** Nettoyage termine le 10/11/2001 à 20:10:11,79 ***

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 10/11/2001 a 21:25:55,73

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport ! Logfile of HijackThis v1.99.1
Scan saved at 21:46:56, on 10/11/2001
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Patrice et Amélie\Mes documents\hijackthis\aidoforum.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtorr.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: torrent_search Toolbar - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtorr.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
O4 - HKLM\..\Run: [DoNotDelete] C:\WINDOWS\System32\explore.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Système d'événements de COM+ EventSystemSCardDrv (EventSystemSCardDrv) - Unknown owner - C:\WINDOWS\System32\ansix.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: Windows Notification Service (Winnotify) - Unknown owner - C:\WINDOWS\System32\winntify.exe (file missing)

je n'arrive pas à avoir le fichier smitfraudfix!

excusez moi, je voudrai savoir si c'est a cause du probleme que vous essayez de resoudre, mais quand j'arrête mon ordinateur mon heure se remet automatiquement à 00h00 et le jour a la premiere utilisation, c'est à dire au 8 novembre 2001. Il y a aussi que je ne peux plus utiliser MSN Messenger,le message d'erreur "80048820 et 80048412".d'apres vous serait-il possible que ce soit ma pile? je vous remerci du coup de main