Votre question

[Resolu]Problème avec explorer.exe et les fichiers vidéos

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Janvier 2007 22:59:21

Bonjour j'ai eu des problemes pour atteindre une video dans l'explorateur, explorer.exe et drwsn32.exe
se relançais ...
Il y a meme des pop-ups qui ont fait leurs apparitions.
ni ad-aware ni spybot n'arrivait a le supprimer (j'ai aussi nis2k6 qui tournait tous le temps)
dans le rapport d'erreur windows il y avait le modname: libavcodec.dll d'afficher
et pour m'aider windows me disait qu'il y avait un probleme et qu'un logiciel nommé OpenH323 en était la cause...
j'ai supprimé le fichier en question (libavcodec.dll)
et le modname: nevideo.ax c'est ajouté

et j'ai donc resolu mon probleme de relancement explorer.exe en supprimant:
nevideo.ax
libavcodec.dll
à l'aide de la fonction recherche de windows :) 

Mais il y a un autre probleme ... maintenant que j'ai retiré ces fichiers, la miniature de certaine vidéos (.avi) ne s'affiche plus alors que avant mon problème elles s'affichaient bien...

j'ai un compte rendu de hijack attention il est long car ça vient d'un portable avec pleins d'applications lancées au démarrage.

Logfile of HijackThis v1.99.1
Scan saved at 22:28:12, on 02/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Toshiba\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm
O8 - Extra context menu item: Surligner en Vert - C:\WINDOWS\web\MarqueurFluoGreen.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/5 [...] plugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0802883994
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

Voila pouvez vous m'apprendre à mieu gerer se genre de problème (quand l'antivirus ne sert a rien)
pour résoudre mes probleme manuellement ou a l'aide d'autre logiciels ... merci d'avance
et bonne année

Autres pages sur : resolu probleme explorer exe fichiers videos

2 Janvier 2007 23:00:17

bonjour,
laisse moi 15 mn, je regarde ;) 
2 Janvier 2007 23:09:23

quelque lignes à fixer dont celle là:
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe
:D  Tu constates les bienfaits du p2p...
j'aimerais (au vu de ton message) que l'on vérifie deux choses avant que je prépare la procédure:
1
~Télécharge. F-Secure Blacklight
https://europe.f-secure.com/blacklight/try.shtml

- Lance F-Secure Blacklight (fichier blbeta.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f-secure_BlackLight.htm...

2
~Télécharge Smitfraudfix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

~Dezippe la totalité de l'archive smitfraudfix.zip
Recherche:
~Double clique sur smitfraudfix.cmd
~Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
~Poste ce rapport.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

postes nous ces 2 rapports stp
Contenus similaires
2 Janvier 2007 23:27:59

rapport f secure blacklight:
01/02/07 23:10:48 [Info]: BlackLight Engine 1.0.55 initialized
01/02/07 23:10:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/02/07 23:10:48 [Note]: 7019 4
01/02/07 23:10:48 [Note]: 7005 0
01/02/07 23:10:58 [Note]: 7006 0
01/02/07 23:10:58 [Note]: 7011 4784
01/02/07 23:10:58 [Note]: 7026 0
01/02/07 23:10:58 [Note]: 7026 0
01/02/07 23:10:58 [Note]: 7024 3
01/02/07 23:10:58 [Info]: Hidden process: C:\windows\system32\yfalqtxdgb.exe
01/02/07 23:11:17 [Note]: FSRAW library version 1.7.1021
01/02/07 23:17:24 [Info]: Hidden file: c:\WINDOWS\system32\yfalqtxdgb.dat
01/02/07 23:17:24 [Note]: 10002 1
01/02/07 23:17:24 [Info]: Hidden file: C:\windows\system32\yfalqtxdgb.exe
01/02/07 23:17:24 [Note]: 10002 1
01/02/07 23:17:25 [Info]: Hidden file: c:\WINDOWS\system32\yfalqtxdgb_nav.dat
01/02/07 23:17:25 [Note]: 10002 1
01/02/07 23:17:25 [Info]: Hidden file: c:\WINDOWS\system32\yfalqtxdgb_navps.dat
01/02/07 23:17:25 [Note]: 10002 1
01/02/07 23:18:44 [Note]: 2000 1012
01/02/07 23:18:44 [Note]: 2000 1012
01/02/07 23:18:44 [Note]: 2000 1012
01/02/07 23:18:44 [Note]: 2000 1012
01/02/07 23:18:44 [Note]: 2000 1012
01/02/07 23:18:44 [Note]: 2000 1012
01/02/07 23:20:54 [Note]: 7007 0

SmitFraudFix v2.132

Rapport fait à 23:23:59,31, 02/01/2007
Executé à partir de C:\Documents and Settings\Toshiba\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Toshiba


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Toshiba\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Toshiba\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://www.google.fr/"
"SubscribedURL"="http://www.google.fr/"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="http://legion666.free.fr/radio-blog/radio.blog/?autopla..."
"SubscribedURL"="http://legion666.free.fr/radio-blog/radio.blog/?autopla..."
"FriendlyName"="Legion 666 Radio"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

voila et en ce qui concerne le p2p je ne telecharge rien d'illégale :(  humm j'espere que j'vais pas me prendre un avertissement
2 Janvier 2007 23:35:57

tu as eu tout seul ton avertissement: il s'est même installé à ton insu sur ton pc sous la forme d'une infection nommée egdaccess.
allez, on commence: tu vas faire ça:
++++++++++++++++++++++++++++++
Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.


Etape 1

~Télécharge Brute Force Uninstaller (de Merijn)

http://www.merijn.org/files/bfu.zip

~Créé un nouveau dossier directement à la racine de ton disque dur, nomme ce dossier BFU.

Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

~Ensuite, télécharge EGDACCESS.bfu (de Metallica) :
Fais un clic droit ici : http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU).
Note : si tu utilises Internet Explorer ; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".
Très important :Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe.

Etape 2

Redémarre en mode Sans Échec (F8 au démarrage de l’ordinateur)
http://www.malekal.com/modesansechec.php


Etape 3

Lance "Brute Force Uninstaller" en double-cliquant BFU.exe (Dans le dossier C:\BFU)
Clique sur le petit dossier jaune, et clique sur : EGDACCESS.bfu
- Coches la case Show log after script ends
- Clique sur Execute pour que le fix fasse son travail.
- Attends que le message Complete script execution apparaisse et clique sur OK.
- Un rapport va s'afficher dans la fenêtre du programme, copie et colle dans le bloc-notes, puis sauvegarde-le, tu le posteras plus tard sur le forum.
Clique Exit pour fermer le programme BFU.

Etape 4
Redémarre normalement et poste :
- un nouveau rapport blbeta.

++++++++++++++++++++++++++++
de mon côté, je prépare le fix de lignes^^
3 Janvier 2007 00:03:02

Brute Force Uninstaller rapport:
BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 23:48:48, on 02/01/2007

Option Delete files to Recycle Bin: Yes
Failed: RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|MC (key not found)
Failed: RegDelValue HKCU\software\microsoft\windows\currentversion\wintrust\trust providers\software publishing\trust database\0|ELECTRONIC GROUP (key not found)
Failed: DllUnregister C:\WINDOWS\system32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: FolderDelete C:\Program Files\InternetGameBox (folder not found)
Failed: FolderDelete C:\Program Files\GoRecord2 (folder not found)
Failed: FolderDelete C:\Program Files\GoAstro (folder not found)
Failed: FolderDelete C:\Program Files\SudoPlanet (folder not found)
Failed: FolderDelete C:\Program Files\MessengerSkinner (folder not found)
Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINDOWS\navmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)
Failed: FolderDelete C:\WINDOWS\navmpc (folder not found)
Failed: FolderDelete C:\WINDOWS\wintrim (folder not found)
Failed: FolderDelete C:\WINDOWS\wincomp (folder not found)
Failed: FolderDelete C:\WINDOWS\winmgts (folder not found)
Failed: FolderDelete C:\WINDOWS\simcss (folder not found)
Failed: FolderDelete C:\WINDOWS\mc (folder not found)
Failed: FileDelete C:\DOCUME~1\Toshiba\LOCALS~1\Temp\~DF1C86.tmp (operation failed)
Script completed.

oula j'ai l'impression que ca vien d'autre part...

et nouveau rapport f secure blacklight:

01/02/07 23:55:32 [Info]: BlackLight Engine 1.0.55 initialized
01/02/07 23:55:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/02/07 23:55:32 [Note]: 7019 4
01/02/07 23:55:32 [Note]: 7005 0
01/02/07 23:55:35 [Note]: 7006 0
01/02/07 23:55:35 [Note]: 7011 1896
01/02/07 23:55:35 [Note]: 7026 0
01/02/07 23:55:36 [Note]: 7026 0
01/02/07 23:55:36 [Note]: 7024 3
01/02/07 23:55:36 [Info]: Hidden process: C:\windows\system32\yfalqtxdgb.exe
01/02/07 23:55:47 [Note]: FSRAW library version 1.7.1021
01/03/07 00:01:10 [Info]: Hidden file: c:\WINDOWS\system32\yfalqtxdgb.dat
01/03/07 00:01:10 [Note]: 10002 1
01/03/07 00:01:10 [Info]: Hidden file: C:\windows\system32\yfalqtxdgb.exe
01/03/07 00:01:10 [Note]: 10002 1
01/03/07 00:01:11 [Info]: Hidden file: c:\WINDOWS\system32\yfalqtxdgb_nav.dat
01/03/07 00:01:11 [Note]: 10002 1
01/03/07 00:01:11 [Info]: Hidden file: c:\WINDOWS\system32\yfalqtxdgb_navps.dat
01/03/07 00:01:11 [Note]: 10002 1
01/03/07 00:02:13 [Note]: 2000 1012
01/03/07 00:02:13 [Note]: 2000 1012
01/03/07 00:02:13 [Note]: 2000 1012
01/03/07 00:02:13 [Note]: 2000 1012
01/03/07 00:02:13 [Note]: 2000 1012
01/03/07 00:02:13 [Note]: 2000 1012
01/03/07 00:02:26 [Note]: 7007 0

voila
3 Janvier 2007 00:05:43

Oh un pop up Win anti-vir pro 2006 vien me saluer
3 Janvier 2007 00:11:33

on recommence, le script n'a pas marché. :( 
j'en rédige un:

Etape 1
Ouvre le Bloc-Notes et copie-colle les lignes ci-dessous :


FileDelete %SYSDIR%\yfalqtxdgb.exe
FileDelete %SYSDIR%\yfalqtxdgb.dat
FileDelete %SYSDIR%\yfalqtxdgb_nav.dat
FileDelete %SYSDIR%\yfalqtxdgb_navps.dat


Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu" -sans inclure les guillemets- ; Type : Tous les fichiers).

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU\ : Fixme.bfu et BFU.exe.

Etape 2

Redémarre en mode Sans Échec (F8 au démarrage de l’ordinateur)
http://www.malekal.com/modesansechec.php


Etape 3
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU\)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur le fichier : Fixme.bfu
- Dans la boîte Scriptline to execute, tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu

Clique sur Execute et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Etape 4
Redémarre normalement et poste :

- un nouveau rapport blbeta.


Je te donne la suite car je vais me coucher :sleep: 

++++++++++++++++++++++++++++++

Imprime ou sauvegarde cette procédure sur ton bureau car une bonne partie de ton travail est à faire en mode sans échec. (tu n’auras alors pas accès au net pendant ce temps).Si tu ne comprends pas quelque-chose, dis-le moi.


Etape 1

~Télécharge AVG anti-spyware.
http://www.ewido.net/en/download/
~Mets le à jour. en cliquant sur le bouton mise à jour dans le menu du haut.

Etape 2

~Redémarre en mode sans échec
(f8 au démarrage de ton pc)
http://www.malekal.com/modesansechec.php

~Lance Hijackthis “Do a system scan only”.
Coche les lignes qui suivent si encore présentes et uniquement celles-là.
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)


Clique sur Fix checked (en bas à gauche)


Etape 4

Ensuite tu n'a plus qu'à supprimer les fichiers et les dossiers.

~Supprimes
Les fichiers en gras qui suivent si encore présents, ils se trouvent sûrement dans les emplacements indiqués :
C:\WINDOWS\system32\0106.exe


Note :
Citation :
Pour afficher les dossiers et fichiers cachés du système :
Panneau de configuration/Options des dossiers/onglet Affichage/cocher Afficher les fichiers et dossiers cachés, décocher Masquer les extensions de fichiers connus, décocher Masquer les fichiers protégés du Système.

Les fichiers et dossiers cachés du système apparaissent alors dans l'explorateur Windows en transparence.

Etape 5


Lance AVG :

~Dans l’onglet analyse, dans Paramètre, clique sur Actions recommandées : choisis Quarantaine.
~Clique sur Analyse puis Analyse complète du système pour commencer le scan.

~Une fois que le scan est terminé, clique sur Appliquer toutes les actions, pour supprimer tous les fichiers infectés trouvés par AVG Anti-Spyware.

~Une fois que la suppression des fichiers infectés a été faite, clique sur enregistrer le rapport et sauvegarde-le sur le bureau.
TutoAVG antispyware : (merci à Malekal) .
http://www.malekal.com/tutorial_AVG_AntiSpyware.html

Etape 6

~Redémarre normalement

cache à nouveau les fichiers pour te protéger.
Citation :

Panneau de configuration/Options des dossiers/onglet Affichage/décocher Afficher les fichiers et dossiers cachés, cocher Masquer les fichiers protégés du Système.

Tu garderas :Masquer les extensions de fichiers connus, décocher.


~Enfin pour naviguer en sécurité, j’aimerais que tu lises ce tuto :
Tuto de Malekal pour naviguer en sécurité
http://www.malekal.com/securiser_ordinateur.html


Bon courage :D 
Tu posteras le rapport avg, le nouveau blbeta et un nouveau log hijackthis.
3 Janvier 2007 00:13:29

bonne nuit et surtout n'achètes pas winantivirus pro :D  :D  :D 
3 Janvier 2007 14:32:22

bon merci pour ton aide avg, f-secure bl et hijackthis sont de bon logiciels :)  et pour les rapports cela ne sert a rien vu que bfu n'a toujour pas marché et avg a trouver le trojen mais se fermait tous seul sans rien demander et j'ai fais la suppression des lignes que tu ma dite pour hijackthis et finalement le trojen n'etait plus ...
donc voila j'ai plus de trojen maintenant ca ne doit être qu'un probleme de codecs videos à réinstaller mais c'est pas très genant car je peut quand meme lancer mes videos et c'est le principal
je vais regarder le lien que tu ma conseillé pour naviguer en toute secu...
bon voila probleme resolu :)  merci encore
3 Janvier 2007 15:19:38

bonjour, rien de résolu :sarcastic: 
On continue...
On ne fait rien avant d’avoir supprimé le rootkit.
~ Télécharge Killbox et installe-le sur ton bureau.
http://www.downloads.subratam.org/KillBox.zip
~Copie le texte ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :
Citation :
C:\windows\system32\yfalqtxdgb.exe
c:\WINDOWS\system32\yfalqtxdgb.dat
c:\WINDOWS\system32\yfalqtxdgb_nav.dat
c:\WINDOWS\system32\yfalqtxdgb_navps.dat

~Ouvre Killbox:
~Clique sur le menu "File" de KillBox (en haut à gauche) et choisis l'option « Paste from clipboard ».
~Sous "Full Path Of File To Delete" les fichiers viennent de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite!
~Coche les cases : "Delete on Reboot" & "Unregister Dll Before Deleting" .
~Une fois le bouton radio "Delete on Reboot" coché, la case "Single File" va clignoter: clique sur la case "All Files".
~Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:
Citation:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre YES Le PC va redémarrer et supprimer le fichier de la liste. Sinon redémarre manuellement.

~Une fois que tu auras redémarré, relance Killbox. Clique sur Menu "File" /"Logs" /"Actions History Log". Poste-nous ce rapport.

Tuto Killbox
http://perso.orange.fr/jesses/Docs/Logiciels/KillBox.ht...



3 Janvier 2007 15:37:05

killbox:
Pocket Killbox version 2.0.0.648
Running on Windows XP as Toshiba(Administrator)
was started @ mercredi, janvier 03, 2007, 3:20 PM

# 1 [Delete on Reboot]
Path = c:\WINDOWS\system32\yfalqtxdgb.dat


# 2 [Delete on Reboot]
Path = c:\WINDOWS\system32\yfalqtxdgb_nav.dat


# 3 [Delete on Reboot]
Path = c:\WINDOWS\system32\yfalqtxdgb_navps.dat


I Rebooted @ 3:25:58 PM
Killbox Closed(Exit) @ 3:26:43 PM

le .exe etait deja partir avec hijack

lol encore un logiciel bien sympatique
3 Janvier 2007 16:18:36

c'est mieux ;) 
maintenant, il faudra refaire un scan avg, un smifraud (à cause de ton message winantivirus) option 1 et en dernier un log hijackthis
fais moi un blbeta aussi pour vérifier :jap: 
3 Janvier 2007 20:42:17

donc avg ne trouve rien f-secure non plus hijackthis toujour les meme ligne et je n'ais plus de pop-up voila merci encore ++
3 Janvier 2007 20:45:35

comme tu veux, j'aurai préféré jeter un oeil mais c'est toi qui voit.
bonne soirée ;) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS