Votre question

Virus MSN photo, je narrive pas à faire les manipulations necessaires

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Juin 2007 10:22:20

Bonjour,

Aussi victime de ce virus, j'ai voulu suivre les recommandations et les manipulations necessaires or je n'y suis pas parvenue.

J'ai bien téléchargé msnfix, je l'ai décompressé, mais je n'arrive pas à exécuter loption R ni a ouvrir le dossier, on me dit que c'est impossible ou sinon une fenêtre s'ouvre brièvement et se referme automatiquement.
Peut-être ai-je mal fais la manip, cependant je l'ai relancée à plusieurs reprises.

Voilà je ne sais plus quoi faire, merci de m'aider.

Autres pages sur : virus msn photo narrive manipulations necessaires

a b 8 Sécurité
20 Juin 2007 13:25:55

Bonjour,

Télécharge Hijackthis (de Merjin).
Dézippe-le dans un dossier ou sur ton Bureau.

Lance l'application (Hijackthis.exe) :
- Choisis l'option "Do a system scan and save a logfile"
- Le Bloc-Notes s'ouvre, poste son contenu :

  • Edition / Sélectionner tout
  • Edition / Copier
  • Clique-Droit / Coller dans ta réponse

    AIDE : Tuto en vidéo sur Hijackthis
    20 Juin 2007 14:01:19

    merci, voici ce que j'obtiens:

    Logfile of HijackThis v1.99.1
    Scan saved at 13:59:34, on 20/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\carpserv.exe
    C:\Program Files\Utilities\Notebook Utilities\hptasks.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\UTILIT~1\ONE-TO~1\OneTouch.EXE
    C:\windows\system\hpsysdrv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MessengerSkinner\MessengerSkinner.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\HPConfig.exe
    C:\Program Files\Utilities\Notebook Utilities\HPWirelessMgr.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~2\PROPRI~1\LOCALS~1\Temp\Rar$EX09.664\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/info/frhomepage-p
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - c:\Program Files\Microsoft Money\System\mnyviewer.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [TV Now] C:\Program Files\Utilities\Notebook Utilities\HpTvNow.exe /RK
    O4 - HKLM\..\Run: [Display Settings] C:\Program Files\Utilities\Notebook Utilities\hptasks.exe /s
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\UTILIT~1\ONE-TO~1\OneTouch.EXE
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HPPresentationReady] C:\Program Files\Utilities\Presentation Ready\PresRdy.exe -r
    O4 - HKLM\..\Run: [WorksFUD] c:\Program Files\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Program Files\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [MoneyStartUp10.0] "c:\Program Files\Microsoft Money\System\Activation.exe"
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?a09d5c203970481db09895da4406ed62
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?a09d5c203970481db09895da4406ed62
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyviewer.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpl...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O21 - SSODL: syshelps - {04094990-8B14-472A-99C9-48B869B1AC0D} - syshelps.dll (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
    O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\Utilities\Notebook Utilities\HPWirelessMgr.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

    Contenus similaires
    a b 8 Sécurité
    20 Juin 2007 14:12:44

    Re,

    Télécharge Navilog1.exe (IL-MAFIOSO)
    Enregistre-le sur ton Bureau.
    Lance l'installation en double cliquant sur navilog.exe.
    Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
    (Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

    Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    [#ff0000]! N'utilise pas l'option 2, 3 et 4 sans notre accord ![/#f]
    Patiente jusqu'à l'apparition de ce message :
    "*** Analyse Termine le ..... ***"
    Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :

    -> Edition / Sélectionner tout
    -> Edition / Copier
    -> Clique-Droit / Coller dans ta réponse


    NOTE : Le rapport se trouve également ici : C:\fixnavi.txt
    20 Juin 2007 14:34:42

    j'ai fais les manipulations demandées, on me demande la langue, je choisis "français" en tapant F puis entrer, la fenetre se refermer automatiquement, je ne comprends pas.
    a b 8 Sécurité
    20 Juin 2007 14:44:42

    Bizarre...

    Les manipulations sont à faire sans interruption et dans l'ordre
    Si tu ne comprends pas quelque chose, demande des explications avant de commencer.


    Enregistre cette page pour avoir accès à la procédure en mode sans échec :
    - Fichier
    - Enregistrer Sous...
    - Nom du fichier : Procédure
    - Type : Page Web, complète
    - Pour l'emplacement, chosis ton Bureau
    - Clique maintenant sur Enregistrer

    Télécharge :

    Brute Force Uninstaller (de Merjin).
    Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

    Navipromo.zip et décompresse-le sur ton bureau.

    FAIS UN CLIQUE-DROIT ICI et choisis "Enregistrer la cible du lien sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde-le dans le dossier créé (C:\BFU).
    Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

    Note : Si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

    AIDE : Comment installer et utiliser BFU ?

    Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

    Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo.
    Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert.
    Sélectionne ensuite l'option "Recherche et suppression automatique" en tapant sur la touche R.
    S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

    Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

    - Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

    EGDACCESS.bfu

    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

    Clique sur Execute et laisse-le faire son travail.

    Attends que Complete script execution apparaisse pour cliquer sur OK.
    Clique Exit pour fermer le programme BFU.

    Redémarre normalement.

    Poste les rapports :
    - Hijackthis
    - C:\egd.txt
    - C:\Navipromo.txt
    20 Juin 2007 15:23:17

    j'arrive à cette étape là:
    "Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo. "

    Lorque j'ouvre le fichier, j'ai le droit au message suivant:
    _echo Navipromo.zip n'est pas ou pas encore compatible avec votre systeme d'exploitation._

    Que dois-je faire puisque je ne parviens pas à ouvrir le fichier?
    merci.
    a b 8 Sécurité
    20 Juin 2007 15:37:15

    Continue quand même.
    20 Juin 2007 16:11:12

    N'étant pas une pro de l'informatique, j'ai essayé de faire de mon mieux, voici les posts:


    rapport hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:05:24, on 20/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\carpserv.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\HPConfig.exe
    C:\Program Files\Utilities\Notebook Utilities\HPWirelessMgr.exe
    C:\Program Files\Utilities\Notebook Utilities\hptasks.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\UTILIT~1\ONE-TO~1\OneTouch.EXE
    C:\windows\system\hpsysdrv.exe
    C:\Program Files\Microsoft Works\WksSb.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\NOTEPAD.EXE
    C:\bfu\BFU.exe
    C:\bfu\BFU.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\WinRAR\WinRAR.exe
    c:\Program Files\Microsoft Money\System\urlmap.exe
    C:\DOCUME~2\PROPRI~1\LOCALS~1\Temp\Rar$EX07.404\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/info/frhomepage-p
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - c:\Program Files\Microsoft Money\System\mnyviewer.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [TV Now] C:\Program Files\Utilities\Notebook Utilities\HpTvNow.exe /RK
    O4 - HKLM\..\Run: [Display Settings] C:\Program Files\Utilities\Notebook Utilities\hptasks.exe /s
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\UTILIT~1\ONE-TO~1\OneTouch.EXE
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HPPresentationReady] C:\Program Files\Utilities\Presentation Ready\PresRdy.exe -r
    O4 - HKLM\..\Run: [WorksFUD] c:\Program Files\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Program Files\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [MoneyStartUp10.0] "c:\Program Files\Microsoft Money\System\Activation.exe"
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?a09d5c203970481db09895da4406ed62
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?a09d5c203970481db09895da4406ed62
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyviewer.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpl...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O21 - SSODL: syshelps - {04094990-8B14-472A-99C9-48B869B1AC0D} - syshelps.dll (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
    O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\Utilities\Notebook Utilities\HPWirelessMgr.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe






    rapport egd:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CARPService"="carpserv.exe"
    "ATIModeChange"="Ati2mdxx.exe"
    "TV Now"="C:\\Program Files\\Utilities\\Notebook Utilities\\HpTvNow.exe /RK"
    "Display Settings"="C:\\Program Files\\Utilities\\Notebook Utilities\\hptasks.exe /s"
    "ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
    "SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
    "SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
    "QT4HPOT"="C:\\PROGRA~1\\UTILIT~1\\ONE-TO~1\\OneTouch.EXE"
    "hpsysdrv"="c:\\windows\\system\\hpsysdrv.exe"
    "HPPresentationReady"="C:\\Program Files\\Utilities\\Presentation Ready\\PresRdy.exe -r"
    "WorksFUD"="c:\\Program Files\\Microsoft Works\\wkfud.exe"
    "Microsoft Works Portfolio"="c:\\Program Files\\Microsoft Works\\WksSb.exe /AllUsers"
    "Microsoft Works Update Detection"="c:\\Program Files\\Fichiers communs\\Microsoft Shared\\Works Shared\\WkUFind.exe"
    "MoneyStartUp10.0"="\"c:\\Program Files\\Microsoft Money\\System\\Activation.exe\""
    "NAV Agent"="C:\\PROGRA~1\\NORTON~1\\navapw32.exe"
    "dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
    "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
    "Adobe Photo Downloader"="\"C:\\Program Files\\Adobe\\Photoshop Album Edition Découverte\\3.0\\Apps\\apdproxy.exe\""
    "KernelFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,\
    00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
    5c,00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,6b,\
    00,00,00
    "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
    "iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
    "knjuscymm"="c:\\windows\\system32\\knjuscymm.exe knjuscymm"
    "avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
    "UserFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,\
    6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
    00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,75,00,\
    00,00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
    "Installed"="1"




    rapport navipromo:

    @echo off

    Rem Navipromo.bat 0.71 - 06102006 - maj 03122006
    rem lazzzy

    VER|find "Windows 95">NUL
    IF NOT ERRORLEVEL 1 GOTO OSBad
    VER|find "Windows 98">NUL
    IF NOT ERRORLEVEL 1 GOTO OSBad
    VER|find "Windows Millennium">NUL
    IF NOT ERRORLEVEL 1 GOTO OSBad
    VER|find "Windows 2000">NUL
    IF NOT ERRORLEVEL 1 (
    set OS=2000
    GOTO XP-2000
    )
    VER|find "Windows XP">NUL
    IF NOT ERRORLEVEL 1 (
    set OS=XP
    GOTO XP-2000
    )

    :o SBad
    echo Navipromo.zip n'est pas ou pas encore compatible avec votre systeme d'exploitation. Le programme va donc fermer.
    pause
    goto Quit

    :XP-2000

    set Compte=%userprofile:~26%

    if exist %SystemDrive%\Navipromo.txt (echo.
    echo -------------
    echo.)>> %SystemDrive%\Navipromo.txt

    :Accueil
    echo.
    echo Navipromo.bat version 0.71
    echo.
    echo.
    echo.
    echo.
    echo.
    echo R = Recherche et suppression automatique
    echo S = Saisie
    echo V = Effectuer quelques verifications
    echo Q = Quitter le programme
    echo.
    echo.
    echo.
    echo.
    set /P choix=[R,S,V,Q]
    if "%choix%"=="R" goto Recherche
    if "%choix%"=="r" goto Recherche
    if "%choix%"=="S" goto Saisie
    if "%choix%"=="s" goto Saisie
    if "%choix%"=="V" goto Verif
    if "%choix%"=="v" goto Verif
    if "%choix%"=="Q" goto Quit
    if "%choix%"=="q" goto Quit
    cls
    goto Accueil

    :Recherche
    cls
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo Veuillez patienter pendant la recherche svp...
    echo.
    echo Rapport Navipromo.bat 0.71 effectué le %Date% à %Time%>>%SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    if not defined safeboot_option echo -- Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés >>%SystemDrive%\Navipromo.txt
    if defined safeboot_option echo L'opération se déroule en mode sans échec sous le compte %Compte% >>%SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    echo ** Recherche...>> %SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    set ComptRech=0

    :D ebut
    %homedrive%
    cd %Windir%\System32
    attrib -s -r -h %Windir%\System32\*_nav??.dat
    if exist *_navps.dat (set /a ComptRech=%ComptRech%+1
    goto Rech_navps)
    if exist *_nav.dat (set /a ComptRech=%ComptRech%+1
    goto Rech_nav)
    goto FinRech

    :Rech_navps
    for /r %%f in (*_navps.dat) do (set var=%%f)
    if %OS%==XP set adware=%var:~20,-10%
    if %OS%==2000 set adware=%var:~18,-10%

    echo %ComptRech%/ %adware% trouvé, recherche de %adware%* >> %SystemDrive%\Navipromo.txt
    rem echo.>> %SystemDrive%\Navipromo.txt
    attrib -s -r -h %Windir%\System32\%adware%*
    dir /b /a /s %adware%* >> %SystemDrive%\Navipromo.txt
    if exist %Windir%\prefetch\%adware%*.pf attrib -s -r -h %Windir%\prefetch\%adware%*.pf | dir /b /a /s %Windir%\prefetch\%adware%*.pf >> %SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware% 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware%]>> %SystemDrive%\Navipromo.txt )
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\app management\arpcache\%adware%]>> %SystemDrive%\Navipromo.txt )
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%")>>%SystemDrive%\Navipromo.txt
    reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%")>>%SystemDrive%\Navipromo.txt
    if exist %Windir%\System32\%adware%_navps.dat ren %Windir%\System32\%adware%_navps.dat %adware%_spvan.dat
    if exist %Windir%\System32\%adware%_navup.dat ren %Windir%\System32\%adware%_navup.dat %adware%_puvan.dat
    if exist %Windir%\System32\%adware%_nav.dat ren %Windir%\System32\%adware%_nav.dat %adware%_van.dat
    echo.>> %SystemDrive%\Navipromo.txt
    echo ------------------>>%SystemDrive%\Navipromo.txt
    set var=
    set adware=
    goto debut

    :Rech_nav
    for /r %%g in (*_nav.dat) do (set var=%%g)
    if %OS%==XP set adware=%var:~20,-8%
    if %OS%==2000 set adware=%var:~18,-8%

    echo %ComptRech%/ %adware% trouvé, recherche de %adware%* >> %SystemDrive%\Navipromo.txt
    rem echo.>> %SystemDrive%\Navipromo.txt
    attrib -s -r -h %Windir%\System32\%adware%*
    dir /b /a /s %adware%* >> %SystemDrive%\Navipromo.txt
    if exist %Windir%\prefetch\%adware%*.pf attrib -s -r -h %Windir%\prefetch\%adware%*.pf | dir /b /a /s %Windir%\prefetch\%adware%*.pf >> %SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware% 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware%]>> %SystemDrive%\Navipromo.txt )
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\app management\arpcache\%adware%]>> %SystemDrive%\Navipromo.txt )
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%")>>%SystemDrive%\Navipromo.txt
    reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%")>>%SystemDrive%\Navipromo.txt
    if exist %Windir%\System32\%adware%_nav.dat ren %Windir%\System32\%adware%_nav.dat %adware%_van.dat
    echo.>> %SystemDrive%\Navipromo.txt
    echo ------------------>>%SystemDrive%\Navipromo.txt
    set var=
    set adware=
    goto debut

    :FinRech
    if exist %Windir%\System32\*_spvan.dat ren *_spvan.dat *_navps.dat
    if exist %Windir%\System32\*_puvan.dat ren *_puvan.dat *_navup.dat
    if exist %Windir%\System32\*_van.dat ren *_van.dat *_nav.dat
    echo Fin du rapport de recherche>>%SystemDrive%\Navipromo.txt
    if %ComptRech%==0 (echo Adware Navipromo non trouvé avec cette méthode>>%SystemDrive%\Navipromo.txt
    goto AfficheRapport)
    if not %ComptRech%==0 (echo Adware Navipromo trouvé %ComptRech% fois avec cette méthode>>%SystemDrive%\Navipromo.txt
    goto prenettoyage)

    :p renettoyage
    cls
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo Une ou plusieurs infections presentes
    echo.
    pause
    cls
    set compteur2=0

    :nettoyage
    echo.>> %SystemDrive%\Navipromo.txt
    echo ################################################>> %SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    echo ** Nettoyage...>> %SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    if not exist %SystemDrive%\Navipromo\Backups mkdir %SystemDrive%\Navipromo\Backups
    if not exist %SystemDrive%\Navipromo\Backups\HKLMRun.reg reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run %SystemDrive%\Navipromo\Backups\HKLMRun.reg
    if not exist %SystemDrive%\Navipromo\Backups\HKCURun.reg reg export HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run %SystemDrive%\Navipromo\Backups\HKCURun.reg
    if not exist %SystemDrive%\Navipromo\Backups\Uninstall.reg reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall %SystemDrive%\Navipromo\Backups\Uninstall.reg
    if not exist %SystemDrive%\Navipromo\Backups\ARPCache.reg reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache" %SystemDrive%\Navipromo\Backups\ARPCache.reg
    echo REGEDIT4>%SystemDrive%\Navipromo\Navipromo.reg
    echo.>>%SystemDrive%\Navipromo\Navipromo.reg
    set compteur3=0

    :InitSuppr
    %homedrive%
    cd %Windir%\System32
    attrib -s -r -h %Windir%\System32\*_nav??.dat
    if exist %Windir%\System32\*_navps.dat goto Suppr_navps
    if exist %Windir%\System32\*_nav.dat goto Suppr_nav
    goto end3

    :Suppr_navps
    set /a compteur2=%compteur2%+1
    for /r %%f in (*_navps.dat) do (set var=%%f)
    if %OS%==XP set adware=%var:~20,-10%
    if %OS%==2000 set adware=%var:~18,-10%

    :D eplac_navps
    echo %compteur2%/ Déplacement de %adware%* vers %SystemDrive%\Navipromo\Backups...>> %SystemDrive%\Navipromo.txt
    rem echo.>> %SystemDrive%\Navipromo.txt
    attrib -s -r -h %Windir%\System32\%adware%*
    move %Windir%\System32\%adware%* %SystemDrive%\Navipromo\Backups
    if exist %Windir%\System32\%adware%* (echo Attention : %Windir%\System32\%adware%* non déplacé !>> %SystemDrive%\Navipromo.txt) else (echo %Windir%\System32\%adware%* déplacé avec succès !>> %SystemDrive%\Navipromo.txt)
    if exist %Windir%\prefetch\%adware%* (attrib -s -r -h %Windir%\prefetch\%adware%* | move %Windir%\prefetch\%adware%* %SystemDrive%\Navipromo\Backups) else goto Registre_navps
    if exist %Windir%\prefetch\%adware%* (echo Attention : %Windir%\prefetch\%adware%* non déplacé !>> %SystemDrive%\Navipromo.txt) else (echo %Windir%\prefetch\%adware%* déplacé avec succès>> %SystemDrive%\Navipromo.txt)

    :Registre_navps
    reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware% 2>NUL
    if not errorlevel 1 (echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware%]>>%SystemDrive%\Navipromo\Navipromo.reg
    set /a compteur3=%compteur3%+1)
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\%adware%" 2>NUL
    if not errorlevel 1 (echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\app management\arpcache\%adware%]>>%SystemDrive%\Navipromo\Navipromo.reg
    set /a compteur3=%compteur3%+1)
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>%SystemDrive%\Navipromo\Navipromo.reg
    echo "%adware%"=->>%SystemDrive%\Navipromo\Navipromo.reg
    set /a compteur3=%compteur3%+1)
    reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]>>%SystemDrive%\Navipromo\Navipromo.reg
    echo "%adware%"=->>%SystemDrive%\Navipromo\Navipromo.reg
    set /a compteur3=%compteur3%+1)
    echo.>> %SystemDrive%\Navipromo.txt
    echo ------------------>>%SystemDrive%\Navipromo.txt
    rem echo.>> %SystemDrive%\Navipromo.txt
    set var=
    set adware=
    goto InitSuppr

    :Suppr_nav
    set /a compteur2=%compteur2%+1
    for /r %%g in (*_nav.dat) do (set var=%%g)
    if %OS%==XP set adware=%var:~20,-8%
    if %OS%==2000 set adware=%var:~18,-8%

    :D eplac_nav
    echo %compteur2%/ Déplacement de %adware%* vers %SystemDrive%\Navipromo\Backups...>> %SystemDrive%\Navipromo.txt
    rem echo.>> %SystemDrive%\Navipromo.txt
    attrib -s -r -h %Windir%\System32\%adware%*
    move %Windir%\System32\%adware%* %SystemDrive%\Navipromo\Backups
    if exist %Windir%\System32\%adware%* (echo Attention : %Windir%\System32\%adware%* non déplacé !>> %SystemDrive%\Navipromo.txt) else (echo %Windir%\System32\%adware%* déplacé avec succès !>> %SystemDrive%\Navipromo.txt)
    if exist %Windir%\prefetch\%adware%* (attrib -s -r -h %Windir%\prefetch\%adware%* | move %Windir%\prefetch\%adware%* %SystemDrive%\Navipromo\Backups) else goto Registre_nav
    if exist %Windir%\prefetch\%adware%* (echo Attention : %Windir%\prefetch\%adware%* non déplacé !>> %SystemDrive%\Navipromo.txt) else (echo %Windir%\prefetch\%adware%* déplacé avec succès>> %SystemDrive%\Navipromo.txt)

    :Registre_nav
    reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware% 2>NUL
    if not errorlevel 1 (echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware%]>>%SystemDrive%\Navipromo\Navipromo.reg
    set /a compteur3=%compteur3%+1)
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\%adware%" 2>NUL
    if not errorlevel 1 (echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\app management\arpcache\%adware%]>>%SystemDrive%\Navipromo\Navipromo.reg
    set /a compteur3=%compteur3%+1)
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>%SystemDrive%\Navipromo\Navipromo.reg
    echo "%adware%"=->>%SystemDrive%\Navipromo\Navipromo.reg
    set /a compteur3=%compteur3%+1)
    reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]>>%SystemDrive%\Navipromo\Navipromo.reg
    echo "%adware%"=->>%SystemDrive%\Navipromo\Navipromo.reg
    set /a compteur3=%compteur3%+1)
    echo.>> %SystemDrive%\Navipromo.txt
    echo ------------------>>%SystemDrive%\Navipromo.txt
    rem echo.>> %SystemDrive%\Navipromo.txt
    set var=
    set adware=
    goto InitSuppr

    :end3
    if %compteur3%==0 (echo Aucune entrée de registre n'a été trouvée>>%SystemDrive%\Navipromo.txt | goto Backups) else (echo * Suppression clés et valeurs de registre>>%SystemDrive%\Navipromo.txt | regedit.exe /s %SystemDrive%\Navipromo\Navipromo.reg | echo %compteur3% entrées de registre netttoyées>>%SystemDrive%\Navipromo.txt )

    :Extras

    if exist %Windir%\WMCRRS.exe (attrib -s -r -h %Windir%\WMCRRS.exe | move %Windir%\WMCRRS.exe %SystemDrive%\Navipromo\Backups
    if exist %Windir%\WMCRRS.exe echo %Windir%\WMCRRS.exe est présent mais n'a pu etre déplacé>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt )

    if exist %Windir%\WMCRRSAPI.DLL (attrib -s -r -h %Windir%\WMCRRSAPI.DLL | move %Windir%\WMCRRSAPI.DLL %SystemDrive%\Navipromo\Backups
    if exist %Windir%\WMCRRSAPI.DLL echo %Windir%\WMCRRSAPI.DLL est présent mais n'a pu etre déplacé>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt )

    if exist "%PROGRAMFILES%\Masta" (move "%PROGRAMFILES%\Masta" %SystemDrive%\Navipromo\Backups
    if exist "%PROGRAMFILES%\Masta" echo %PROGRAMFILES%\Masta est présent mais n'a pu etre déplacé>>%SystemDrive%\Navipromo.txt )

    if exist "%PROGRAMFILES%\Montorgueil" (move "%PROGRAMFILES%\Montorgueil" %SystemDrive%\Navipromo\Backups
    if exist "%PROGRAMFILES%\Montorgueil" echo %PROGRAMFILES%\Montorgueil est présent mais n'a pu etre déplacé>>%SystemDrive%\Navipromo.txt )


    :Backups
    echo.>>%SystemDrive%\Navipromo.txt
    echo * Backups :>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    dir /b /s %SystemDrive%\Navipromo\Backups>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    echo Ajout d'extension .off aux backups>>%SystemDrive%\Navipromo.txt
    if exist %SystemDrive%\Navipromo\Backups\*.dat ren %SystemDrive%\Navipromo\Backups\*.dat *.dat.off 2>NUL
    if errorlevel 1 echo Problème en renommant les backups.dat>>%SystemDrive%\Navipromo.txt
    if exist %SystemDrive%\Navipromo\Backups\*.exe ren %SystemDrive%\Navipromo\Backups\*.exe *.exe.off 2>NUL
    if errorlevel 1 echo Problème en renommant les backups.exe>>%SystemDrive%\Navipromo.txt
    if exist %SystemDrive%\Navipromo\Backups\*.pf ren %SystemDrive%\Navipromo\Backups\*.pf *.pf.off 2>NUL
    if errorlevel 1 echo Problème en renommant les backups.pf>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt

    if not %ComptRech%==0 echo ## Fin du rapport de Suppression>>%SystemDrive%\Navipromo.txt
    goto AfficheRapport


    Rem >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Saisie <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    :Saisie

    echo Rapport Navipromo.bat 0.71 effectué le %Date% à %Time%>%SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    if not defined safeboot_option echo Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés >>%SystemDrive%\Navipromo.txt
    if defined safeboot_option echo L'opération se déroule en mode sans échec sous le compte %Compte% >>%SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    cls
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    Set /P adware=Entrez le nom du fichier (sans son extension) :
    echo.
    cls
    if exist %Windir%\System32\%adware%.exe (cls
    echo.

    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo Avertissement :
    echo.
    echo le fichier %Windir%\System32\%adware%.exe est present
    echo et va etre deplace dans le repertoire %SystemDrive%\Navipromo\Backups.
    echo Vous ne devriez continuer que si vous etes certain de votre demarche.
    echo.
    echo.
    echo.
    echo.
    pause )
    goto suite

    :suite
    cls
    echo ** Nettoyage par méthode Saisie...>> %SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    if not exist %SystemDrive%\Navipromo\Backups mkdir %SystemDrive%\Navipromo\Backups
    echo REGEDIT4>%SystemDrive%\Navipromo\Navipromo.reg
    echo.>>%SystemDrive%\Navipromo\Navipromo.reg

    :SuppSaisie
    set ComptSaisie=0
    %homedrive%
    rem cd %Windir%\System32
    if exist %Windir%\System32\%adware%.exe (echo Déplacement de %adware%.exe vers %SystemDrive%\Navipromo\Backups...>> %SystemDrive%\Navipromo.txt) else (goto DatSaisie)
    set /a ComptSaisie=%ComptSaisie%+1
    if exist %Windir%\System32\%adware%.exe (attrib -s -r -h %Windir%\System32\%adware%.exe | move %Windir%\System32\%adware%.exe %SystemDrive%\Navipromo\Backups)
    if exist %Windir%\System32\%adware%.exe (echo Attention : %Windir%\System32\%adware%.exe non déplacé !>> %SystemDrive%\Navipromo.txt) else (echo %Windir%\System32\%adware%.exe déplacé avec succès !>> %SystemDrive%\Navipromo.txt)
    :D atSaisie
    if exist %Windir%\System32\%adware%*.dat (attrib -s -r -h %Windir%\System32\%adware%*.dat | move %Windir%\System32\%adware%*.dat %SystemDrive%\Navipromo\Backups) else (goto pfSaisie)
    set /a ComptSaisie=%ComptSaisie%+1
    if exist %Windir%\System32\%adware%*.dat (echo Attention : %Windir%\System32\%adware%*.dat non déplacé !>> %SystemDrive%\Navipromo.txt) else (echo %Windir%\System32\%adware%*.dat déplacé avec succès !>> %SystemDrive%\Navipromo.txt)
    :p fSaisie
    if exist %Windir%\prefetch\%adware%*.pf (attrib -s -r -h %Windir%\prefetch\%adware%*.pf | move %Windir%\prefetch\%adware%*.pf %SystemDrive%\Navipromo\Backups) else (goto RegSaisie)
    set /a ComptSaisie=%ComptSaisie%+1
    if exist %Windir%\prefetch\%adware%*.pf (echo Attention : %Windir%\prefetch\%adware%* non déplacé !>> %SystemDrive%\Navipromo.txt) else (echo %Windir%\prefetch\%adware%*.pf déplacé avec succès>> %SystemDrive%\Navipromo.txt)

    :RegSaisie
    set ComptRegSaisie=0
    reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware% 2>NUL
    if not errorlevel 1 (echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%adware%]>>%SystemDrive%\Navipromo\Navipromo.reg
    set /a ComptRegSaisie=%ComptRegSaisie%+1)
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\%adware%" 2>NUL
    if not errorlevel 1 (echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\app management\arpcache\%adware%]>>%SystemDrive%\Navipromo\Navipromo.reg
    set /a ComptRegSaisie=%ComptRegSaisie%+1)
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>%SystemDrive%\Navipromo\Navipromo.reg
    echo "%adware%"=->>%SystemDrive%\Navipromo\Navipromo.reg
    set /a ComptRegSaisie=%ComptRegSaisie%+1)
    reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | find "%adware%" 2>NUL
    if not errorlevel 1 (echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]>>%SystemDrive%\Navipromo\Navipromo.reg
    echo "%adware%"=->>%SystemDrive%\Navipromo\Navipromo.reg
    set /a ComptRegSaisie=%ComptRegSaisie%+1)
    echo.>> %SystemDrive%\Navipromo.txt

    :EndSaisie
    if %ComptRegSaisie%==0 (echo Aucune entrée de registre n'a été trouvée>>%SystemDrive%\Navipromo.txt | goto BackupSaisie ) else (
    echo * Suppression clés et valeurs de registre>>%SystemDrive%\Navipromo.txt | regedit.exe /s %SystemDrive%\Navipromo\Navipromo.reg | echo %ComptRegSaisie% entrées de registre nettoyée(s)>>%SystemDrive%\Navipromo.txt
    )
    if %ComptSaisie%==0 echo %adware% non trouvé>>%SystemDrive%\Navipromo.txt | echo.>>%SystemDrive%\Navipromo.txt
    if %ComptSaisie%==0 goto AfficheRapport

    :BackupSaisie
    echo.>>%SystemDrive%\Navipromo.txt
    echo * Backups :>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    dir /b /s %SystemDrive%\Navipromo\Backups>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    echo Ajout d'extension .off aux backups>>%SystemDrive%\Navipromo.txt
    ren %SystemDrive%\Navipromo\Backups\%adware%*.* %adware%*.*.off 2>NUL
    if not errorlevel 1 (echo Backups renommés avec succès>>%SystemDrive%\Navipromo.txt) else (echo Problème en renommant les backups>>%SystemDrive%\Navipromo.txt)
    echo.>>%SystemDrive%\Navipromo.txt
    echo ## Fin du rapport de suppression>>%SystemDrive%\Navipromo.txt
    goto AfficheRapport


    Rem >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Verif <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    :Verif
    echo Rapport Navipromo.bat 0.71 effectué le %Date% à %Time%>>%SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    if not defined safeboot_option echo Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés >>%SystemDrive%\Navipromo.txt
    if defined safeboot_option echo L'opération se déroule en mode sans échec sous le compte %Compte% >>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    echo ## Vérifications supplémentaires >>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    echo Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux. >>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    cls
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo.
    echo Veuillez patienter pendant que le programme
    echo effectue quelques recherches supplementaires.
    echo * Navipromo>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    echo %Windir%\System32>>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    cd %Windir%\System32
    Rem >> .exe
    findstr /m /I "dj\c98y" *.exe >>%SystemDrive%\Navipromo.txt
    findstr /m /I "OagaBoxA" *.exe >>%SystemDrive%\Navipromo.txt
    findstr /m /I "USQWVR" *.exe >>%SystemDrive%\Navipromo.txt
    Rem >> _nav.dat
    findstr /m /I "QZRjnmb" *.dat >>%SystemDrive%\Navipromo.txt
    Rem >> _navps.dat
    findstr /m /I "PN9>.JQ[ATAAO" *.dat >>%SystemDrive%\Navipromo.txt
    Rem >> .dat
    findstr /m /I "YUTETN" *.dat >>%SystemDrive%\Navipromo.txt
    findstr /m /I "PAkta" *.dat >>%SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    echo * Trojan Nebula >>%SystemDrive%\Navipromo.txt
    echo.>>%SystemDrive%\Navipromo.txt
    if exist win???32.dll dir /a /b /s win???32.dll >>%SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    if exist %Windir%\temp\*.tmp.exe dir /a /b /s %Windir%\temp\*.tmp.exe >> %SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    echo * Trojan Vundo >>%SystemDrive%\Navipromo.txt
    echo.>> %SystemDrive%\Navipromo.txt
    if exist *.bak1 dir /a /b /s *.bak1>> %SystemDrive%\Navipromo.txt
    if exist *.bak2 dir /a /b /s *.bak2>> %SystemDrive%\Navipromo.txt
    if exist *.ini1 dir /a /b /s *.ini1>> %SystemDrive%\Navipromo.txt
    if exist *.ini2 dir /a /b /s *.ini2>> %SystemDrive%\Navipromo.txt


    Rem >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Fin <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    :AfficheRapport
    notepad %SystemDrive%\Navipromo.txt
    exit

    :Quit
    exit


    a b 8 Sécurité
    20 Juin 2007 16:23:48

    Re,

    FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

    uvre le Bloc-Notes et copie-colle les lignes en rouge ci-dessous :

    RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\knjuscymm
    RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|knjuscymm
    FileDelete %SYSDIR%\knjuscymm_navps.dat
    FileDelete %SYSDIR%\knjuscymm_nav.dat
    FileDelete %SYSDIR%\knjuscymm.dat
    FileDelete %SYSDIR%\knjuscymm.exe
    FileDelete %WINDIR%\PREFETCH\knjuscymm.exe*.pf

    SystemEmptyTempFolder
    SystemEmptyRecycleBin

    FileDelete C:\egd.txt
    SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

    OptionBFUExit


    Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).

    Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

    Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

    - Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

    EGDACCESS.bfu

    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

    Clique sur Execute et laisse-le faire son travail.
    Recommence avec fixme.bfu

    Attendre que Complete script execution apparaîsse et clique sur OK.
    Clique Exit pour fermer le programme BFU.

    Poste le rapport : C:\egd.txt
    20 Juin 2007 16:39:17

    voici le rapport:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CARPService"="carpserv.exe"
    "ATIModeChange"="Ati2mdxx.exe"
    "TV Now"="C:\\Program Files\\Utilities\\Notebook Utilities\\HpTvNow.exe /RK"
    "Display Settings"="C:\\Program Files\\Utilities\\Notebook Utilities\\hptasks.exe /s"
    "ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
    "SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
    "SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
    "QT4HPOT"="C:\\PROGRA~1\\UTILIT~1\\ONE-TO~1\\OneTouch.EXE"
    "hpsysdrv"="c:\\windows\\system\\hpsysdrv.exe"
    "HPPresentationReady"="C:\\Program Files\\Utilities\\Presentation Ready\\PresRdy.exe -r"
    "WorksFUD"="c:\\Program Files\\Microsoft Works\\wkfud.exe"
    "Microsoft Works Portfolio"="c:\\Program Files\\Microsoft Works\\WksSb.exe /AllUsers"
    "Microsoft Works Update Detection"="c:\\Program Files\\Fichiers communs\\Microsoft Shared\\Works Shared\\WkUFind.exe"
    "MoneyStartUp10.0"="\"c:\\Program Files\\Microsoft Money\\System\\Activation.exe\""
    "NAV Agent"="C:\\PROGRA~1\\NORTON~1\\navapw32.exe"
    "dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
    "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
    "Adobe Photo Downloader"="\"C:\\Program Files\\Adobe\\Photoshop Album Edition Découverte\\3.0\\Apps\\apdproxy.exe\""
    "KernelFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,\
    00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
    5c,00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,6b,\
    00,00,00
    "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
    "iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
    "avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
    "UserFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,\
    6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
    00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,75,00,\
    00,00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
    "Installed"="1"

    a b 8 Sécurité
    20 Juin 2007 16:43:57

    Reposte un rapport Hijackthis.
    20 Juin 2007 16:46:49

    ok, le rapport hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:45:57, on 20/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\carpserv.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\HPConfig.exe
    C:\Program Files\Utilities\Notebook Utilities\HPWirelessMgr.exe
    C:\Program Files\Utilities\Notebook Utilities\hptasks.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\UTILIT~1\ONE-TO~1\OneTouch.EXE
    C:\windows\system\hpsysdrv.exe
    C:\Program Files\Microsoft Works\WksSb.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\bfu\BFU.exe
    C:\bfu\BFU.exe
    C:\bfu\BFU.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/info/frhomepage-p
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - c:\Program Files\Microsoft Money\System\mnyviewer.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [TV Now] C:\Program Files\Utilities\Notebook Utilities\HpTvNow.exe /RK
    O4 - HKLM\..\Run: [Display Settings] C:\Program Files\Utilities\Notebook Utilities\hptasks.exe /s
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\UTILIT~1\ONE-TO~1\OneTouch.EXE
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HPPresentationReady] C:\Program Files\Utilities\Presentation Ready\PresRdy.exe -r
    O4 - HKLM\..\Run: [WorksFUD] c:\Program Files\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Program Files\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [MoneyStartUp10.0] "c:\Program Files\Microsoft Money\System\Activation.exe"
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?a09d5c203970481db09895da4406ed62
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?a09d5c203970481db09895da4406ed62
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyviewer.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpl...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O21 - SSODL: syshelps - {04094990-8B14-472A-99C9-48B869B1AC0D} - syshelps.dll (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
    O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\Utilities\Notebook Utilities\HPWirelessMgr.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

    a b 8 Sécurité
    20 Juin 2007 16:48:01

    Ton pc se comporte mieux ?
    20 Juin 2007 16:49:47

    je n'ai pas réessayé msn, je vais me connecter pour voir si tout fonctionne bien.

    normalement le virus est-il partit?
    a b 8 Sécurité
    20 Juin 2007 17:11:59

    On n'a tout de même pas terminé :) 

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Tuto sur le scan en ligne

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS