Set-Cookie

de **jazzy2912** le Mar Juin 26, 2007 4:23 pm

Bonjour,

Concernant PowerReg Scheduler V3.exe,

on ne peut pas le désinstaller, car il n'est pas dans la liste Ajout suppression de programmes. Donc,

Si la désinstallation propre n'est pas possible, nous le supprimerons manuellement.

Concernant l'autre spyware, il faudrait scanner le PC avec les logiciels Ad Aware 2007 et Spybot Search and Destroy.

Ce que j'ai fait avec les deux adresses que vous m'avez communiqué.
J'étais toute contente, mais aujourd'hui j'ai refait ActiveScan pour voir si c'était propre, et pouvoir vous envoyer des rapports presque vides.
Malheureusement les rapports ActiveScan après nettoyage sont presque les mêmes que ceux d'avant, il n'y a que 3 ou 4 éléments de changés!

Bon, je vous envoie le tout en espérant que vous vous y retrouverez :

Ad-Aware 2007 Build
Log File Created on: 2007-06-26 01:55:58
Using Definitions File: C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware 2007\core.aawdef
Computer name: CPQ18172102468
Name of user performing scan: SYSTEM

System information
===========================
Number of processors: 1
Processor type: Mobile Intel(R) Pentium(R) 4 - M CPU 1.80GHz
Memory Available: 9%
Total Physical Memory: 502251520 Bytes
Available Physical Memory: 45072384 Bytes
Total Page File Size: 1176743936 Bytes
Available On Page File: 471445504 Bytes
Total Virtual Memory: 2147352576 Bytes
Available Virtual Memory: 1991798784 Bytes
OS: Microsoft Windows XP Service Pack 2 (Build 2600)

Ad-Aware 2007 Settings
===========================
Skipping files larger than 1048576 kB
Ignoring infections with lower TAI than: 3

Extended Ad-Aware 2007 Settings
===========================
Unloading known modules during scan
Ignoring spanned files when scanning cab archives
Scanning registry for all users
Using permanent archive caching
Reanalyzing results after scanning before displaying results
Trying to unload modules prior to removal
Let Windows remove files currently in use at next reboot
Removing quarantined objects after restore
Logging Ad-Aware events
Blocking Pop-Ups aggressively
Deactivating Ad-Watch during scans
Writeprotecting system files after repairs
Including Ad-aware command line parameters in log file
Include info about ignored objects in log file
Including basic settings in log file
Including advanced settings in log file
Including user and computer name in log file
Include reference summary in log file
Creating log file for removal operations
Including module info in log file
Include Alternate Data Stream details in log file
Create and save WebUpdate log file

Databaseinfo
===========================
Version number: 2
Build Number: 0
Build Date and Time: 2007/06/05 19:22:29

Scan Statistics
===========================
Method: Full
Scan tracking cookies.............................: On
Scan ADS filestreams..............................: Off

Item Scanned: 245806
Infections Detected: 2
Infections Ignored: 0

Scan detailed statistics
===========================
Type Critical Total
Process Scan....: 0 0
Registry Scan...: 0 0
Registry PE Scan: 0 0
Hosts File Scan.: 0 0
File Scan.......: 0 0
Folder Scan.....: 0 0
LSP Scan........: 0 0
ADS Scan........: 0 0
Cookie Scan.....: 0 0
File Hash Scan..: 0 0

Infections Found
===========================
Family Id: 9999 Name: MRU Object Category: MRU Object TAI:0
Item Id: 1 Value: MRU Path: C:\Documents and Settings\Administrateur\Recent Count: 110
Item Id: 2 Value: MRU Registry Key: S-1-5-21-1694720459-4168273537-3479383672-500\Software\Microsoft\Search Assistant\ACMru\5603 Count: 12

Items Ignored During Scan
===========================

Edit de Sébastien : Apparement, le log est trop gros pour figurer dans un seul post. J'ai supprimé les informations qui n'étaient pas nécessaires pour ne laisser que l'essentiel

de **Sebastien** le Mar Juin 26, 2007 7:53 pm

Bonjour.

Ad Aware n'a détecté que 2 entrées "malveillantes" mais pas de quoi s'alarmer. Il s'agit juste de MRU (Most Recently Used). En clair, ce sont juste des listes de fichiers récemment ouverts. Par contre, quand vous dites que les logs de Active Scan sont identiques, vous voulez dire que les lignes concernant PowerReg Scheduler V3, MyWebSearch et f3initialsetup1.0.0.15.inf apparaissent toujours dans le résultats du scan ?

Spybot a t'il trouvé quelque chose lors du scan ?

Pouvez-vous lancer le logiciel Navilog ?

--------------

:arrow:

Télécharger Navilog :

Code: Tout sélectionner: http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip

Extraire le fichier sur le bureau et lancer l'installation. Le logiciel va se lancer tout seul normalement. Suivre les indications à l'écran, puis à l'écran de choix de l'action à accomplir, choisir 1 (rechercher)
Attendre la fin du scan.
Le log va s'enregistrer dans une fenêtre du bloc note. Le collez le dans votre message.

--------------

Concernant PowerReg Scheduler, votre antispyware devrait être en mesure de le supprimer. Sinon, la méthode manuelle est la suivante :

PowerReg Scheduler Manual Removal:

Follow these steps to remove PowerReg Scheduler from your machine. Begin by backing up your registry and your system, and/or setting a Restore Point, to prevent trouble if you make a mistake.

1. Kill these running processes with Task Manager:
%DeskTop%\startup\powerreg scheduler v3.exe
%Profile%\start menu\programs\startup\powerreg scheduler.exe
%Profile%\start menu\programs\startup\powerreg schedulerv2.exe
%Startup%\powerreg scheduler v3.exe
%Startup%\powerreg scheduler.exe
%SystemRoot%\desktop\startup\powerreg scheduler.exe
%SystemRoot%\start menu\programs\startup\powerreg scheduler v3.exe
%SystemRoot%\start menu\programs\startup\powerreg scheduler.exe

2. Remove these files (if present) with Windows Explorer:
%DeskTop%\startup\powerreg scheduler v3.exe
%DeskTop%\startup\webshots.lnk
%Profile%\start menu\programs\startup\powerreg scheduler.exe
%Profile%\start menu\programs\startup\powerreg schedulerv2.exe
%ProgramFiles%\powerreg
%Startup%\powerreg scheduler v3.exe
%Startup%\powerreg scheduler.exe
%SystemRoot%\desktop\startup\powerreg scheduler.exe
%SystemRoot%\start menu\programs\startup\image.lnk
%SystemRoot%\start menu\programs\startup\norton disk doctor.lnk
%SystemRoot%\start menu\programs\startup\powerreg scheduler v3.exe
%SystemRoot%\start menu\programs\startup\powerreg scheduler.exe

3. Remove these directories (if present) with Windows Explorer:
%DeskTop%\startup

Dans un premier temps, je vous conseille de rechercher si les entrées précisées ci-dessus sont présentes sur votre PC. Pour info, %SystemRoot% correspond au dossier où vous avez installé Windows ,%startup% correspond aux dossiers Démarrage dans les profils et %DeskTop% au différents bureau des profils.

Tenez-nous au courant.

de **jazzy2912** le Mer Juin 27, 2007 12:09 am

Bonsoir Sébastien,

Merci bcp pour vos réponses hyper-rapides.

J'ai un peu de souci à cause de votre note en italique à la fin de mon dernier message :
en effet, en plus du rapport AdAware, je vous avais envoyé 2 résultats de SpyBot et 2 scans finaux d'ActiveScan. Je pense que ce sont des éléments importants, car, comme je le mentionnais, les ActiveScan après AdAware et SpyBot sont quasi les mêmes qu'avant...

Donc je me permets de vous renvoyer SpyBot dans ce post et je ferais un autre post pour les ActiveScan finaux.

SpyBot

RealDownloadExpress: Root class (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\RealDownloadExpress.IE
RealDownloadExpress: Root class (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\RealDownloadExpress.IE.1
RealDownloadExpress: Class ID (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{56336BCB-3D8A-11d6-A00B-0050DA18DE71}
RealDownloadExpress: Class ID (Clé du registre, nothing done)
HKEY_CLASSES_ROOT\TypeLib\{FDF5CDE5-17A6-40B3-A544-A8527AE8B243}
MyWay.MyWebSearch: Root class (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\MyWebSearch.PseudoTransparentPlugin
MyWay.MyWebSearch: Réglages (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1694720459-4168273537-3479383672-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-49 61-B6BB-170DE4475C
CA}
MyWay.MyWebSearch: Browser helper object (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1694720459-4168273537-3479383672-500\Software\MyWebSearch
MyWay.MyWebSearch: Browser helper object (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\FocusInteractive
MyWay.MyWebSearch: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
MyWay.MyWebSearch: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\MyWebSearch
MyWay.MyWebSearch: Dossier Programme (Répertoire, nothing done)
C:\Program Files\MyWebSearch\
FunWebProducts: Dossier Programme (Répertoire, nothing done)
C:\Program Files\FunWebProducts\ScreenSaver\
FunWebProducts: Dossier Programme (Répertoire, nothing done)
C:\Program Files\FunWebProducts\ScreenSaver\Images\
FunWebProducts: Class ID (Clé du registre, nothing done)
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
FunWebProducts: Dossier Programme (Répertoire, nothing done)
C:\Program Files\FunWebProducts\
FunWebProducts: Réglages (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1694720459-4168273537-3479383672-500\Software\Fun Web Products
Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: Réglages (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0
Microsoft.WindowsSecurityCenter.FirewallDisableNotify: Réglages (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0
Microsoft.Windows.IEFirewallBypass: Réglages (Valeur du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Intern
et Explorer\IEXPLORE.EXE
Microsoft.Windows.IEFirewallBypass: Réglages (Valeur du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Intern
et Explorer\IEXPLORE.EXE
FunWeb: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\Fun Web Products
FunWeb: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\FunWebProducts
MyWebSearch: Class ID (Clé du registre, nothing done)
HKEY_CLASSES_ROOT\CLSID\{A4730EBE-43A6-443e-9776-36915D323AD3}
MyWebSearch: Interface (Clé du registre, nothing done)
HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
MyWebSearch: Interface (Clé du registre, nothing done)
HKEY_CLASSES_ROOT\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-06-26 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-06-20 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-06-20 Includes\DialerC.sbi (*)
2007-06-20 Includes\Hijackers.sbi (*)
2007-06-20 Includes\HijackersC.sbi (*)
2007-06-20 Includes\Keyloggers.sbi (*)
2007-06-20 Includes\KeyloggersC.sbi (*)
2007-06-20 Includes\Malware.sbi (*)
2007-06-20 Includes\MalwareC.sbi (*)
2007-03-21 Includes\PUPS.sbi (*)
2007-06-20 Includes\PUPSC.sbi (*)
2007-06-20 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-06-20 Includes\SecurityC.sbi (*)
2007-06-20 Includes\Spybots.sbi (*)
2007-06-20 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2007-06-20 Includes\Trojans.sbi (*)
2007-06-20 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll

SpyBot2

RealDownloadExpress: Root class (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Classes\RealDownloadExpress.IE
RealDownloadExpress: Root class (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Classes\RealDownloadExpress.IE.1
RealDownloadExpress: Class ID (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{56336BCB-3D8A-11d6-A00B-0050DA18DE71}
RealDownloadExpress: Class ID (Clé du registre, fixed)
HKEY_CLASSES_ROOT\TypeLib\{FDF5CDE5-17A6-40B3-A544-A8527AE8B243}
MyWay.MyWebSearch: Root class (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Classes\MyWebSearch.PseudoTransparentPlugin
MyWay.MyWebSearch: Réglages (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-1694720459-4168273537-3479383672-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-49 61-B6BB-170DE4475C
CA}
MyWay.MyWebSearch: Browser helper object (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-1694720459-4168273537-3479383672-500\Software\MyWebSearch
MyWay.MyWebSearch: Browser helper object (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\FocusInteractive
MyWay.MyWebSearch: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
MyWay.MyWebSearch: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\MyWebSearch
MyWay.MyWebSearch: Dossier Programme (Répertoire, fixed)
C:\Program Files\MyWebSearch\
FunWebProducts: Dossier Programme (Répertoire, fixed)
C:\Program Files\FunWebProducts\ScreenSaver\
FunWebProducts: Dossier Programme (Répertoire, fixed)
C:\Program Files\FunWebProducts\ScreenSaver\Images\
FunWebProducts: Class ID (Clé du registre, fixed)
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
FunWebProducts: Dossier Programme (Répertoire, fixed)
C:\Program Files\FunWebProducts\
FunWebProducts: Réglages (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-1694720459-4168273537-3479383672-500\Software\Fun Web Products
Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: Réglages (Modification du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0
Microsoft.WindowsSecurityCenter.FirewallDisableNotify: Réglages (Modification du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0
Microsoft.Windows.IEFirewallBypass: Réglages (Valeur du registre, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Intern
et Explorer\IEXPLORE.EXE
Microsoft.Windows.IEFirewallBypass: Réglages (Valeur du registre, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Intern
et Explorer\IEXPLORE.EXE
FunWeb: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Fun Web Products
FunWeb: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\Software\FunWebProducts
MyWebSearch: Class ID (Clé du registre, fixed)
HKEY_CLASSES_ROOT\CLSID\{A4730EBE-43A6-443e-9776-36915D323AD3}
MyWebSearch: Interface (Clé du registre, fixed)
HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
MyWebSearch: Interface (Clé du registre, fixed)
HKEY_CLASSES_ROOT\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-06-26 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-06-20 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-06-20 Includes\DialerC.sbi (*)
2007-06-20 Includes\Hijackers.sbi (*)
2007-06-20 Includes\HijackersC.sbi (*)
2007-06-20 Includes\Keyloggers.sbi (*)
2007-06-20 Includes\KeyloggersC.sbi (*)
2007-06-20 Includes\Malware.sbi (*)
2007-06-20 Includes\MalwareC.sbi (*)
2007-03-21 Includes\PUPS.sbi (*)
2007-06-20 Includes\PUPSC.sbi (*)
2007-06-20 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-06-20 Includes\SecurityC.sbi (*)
2007-06-20 Includes\Spybots.sbi (*)
2007-06-20 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2007-06-20 Includes\Trojans.sbi (*)
2007-06-20 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll

Voilà pour le premier post. Je vous en fais un autre pour les ActiveScan

Jazzy2912

de **jazzy2912** le Mer Juin 27, 2007 12:22 am

Voici la 2ème partie du post, concernant les scans d'ActiveScan après le passage d'AdAware et de SpyBot :

ActiveScan my computer

Incident Status Location

Potentially unwanted tool:application/funweb Not disinfected c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf
Potentially unwanted tool:application/mywebsearch Not disinfected hkey_classes_root\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179}
Spyware:Cookie/Xiti Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
Spyware:Cookie/2o7 Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt
Spyware:Cookie/2o7 Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[2].txt
Spyware:Cookie/Com.com Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@com[2].txt
Potentially unwanted tool:Application/PRScheduler Not disinfected F:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler V3.exe
Potentially unwanted tool:Application/PRScheduler Not disinfected F:\Documents and Settings\Administrateur\Bureau\PowerReg Scheduler V3.exe
Spyware:Cookie/2o7 Not disinfected F:\Révisions\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].(2).txt

ActiveScan local disk

Incident Status Location

Potentially unwanted tool:Application/FunWeb Not disinfected C:\WINDOWS\Downloaded Program Files\f3initialsetup1.0.0.15.inf
Spyware:Cookie/Xiti Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
Spyware:Cookie/2o7 Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt
Spyware:Cookie/2o7 Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[2].txt
Spyware:Cookie/Com.com Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@com[2].txt
Potentially unwanted tool:Application/PRScheduler Not disinfected F:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler V3.exe
Potentially unwanted tool:Application/PRScheduler Not disinfected F:\Documents and Settings\Administrateur\Bureau\PowerReg Scheduler V3.exe
Spyware:Cookie/2o7 Not disinfected F:\Révisions\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].(2).txt

Si ça ne change rien dans la suite logique à donner aux opérations, faites-le moi savoir et je suivrai alors les instructions de votre dernier message.

Remerciements et salutations,

jazzy2912

de **Sebastien** le Mer Juin 27, 2007 9:34 pm

Bonjour.

Votre Windows est il installé sur le disque C: ou sur le disque F: ?
Dans votre log, on peut voir des références à ces deux disques.

Pour Spybot, il aura fait le ménage dans votre base de registre mais il reste des choses. Apparement la procédure manuelle pourra probablement aider au nettoyage et il ne sera pas forcement obligatoire de passer dans tous les répertoires indiqués dans la procédure. Nous verrons quoi faire une fois que vous aurez précisé le détail concernant Windows et son répertoire d'utilisation.

Concernant les logs, oui vous avez bien fait de les poster. C'est simplement que le rapport d'analyse d'Ad Aware 2007 était énorme pour ne citer que deux lignes intéressantes. Je pense que votre post a dû être tronqué par la base de données parce qu'il contenait trop de caractères. C'est pourquoi j'ai supprimé le superflu. D'ailleurs, de mémoire il était tronqué au milieu du rapport Ad Aware ce qui faisait que l'on ne voyait pas les logs que vous avez reposté aujourd'hui.

Enfin, pensez à faire un scan avec Navilog comme spécifié dans mon précédent message.

Tenez-nous au courant. Nous verrons pour supprimer manuellement Powerreg.

@+

de **jazzy2912** le Jeu Juin 28, 2007 8:48 pm

Bonsoir,

Mon Windows est installé sur le disque C.
Le F correspond à un disque dur de sauvegarde automatique Iomega qui tourne en continu quand mon PC est allumé.
Peut-être faudra-t-il aussi s'en occuper au cas où il aurait sauvegardé des malveillants! A voir...

:arrow:

Voici le résultat du Navilog :

Search Navipromo version 2.0.3 commencé le 28.06.2007 à 20:11:32,35

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\Windows ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 06/28/07 at 20:11:45.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items

..........................................................................................................

..........
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/28/07 at 20:26:14 (return code = 0).

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

*** Analyse Terminé le 28.06.2007 à 20:27:17,31 ***

Voilà pour le moment, j'attends vos instructions pour la suite.

Merci et @ bientôt.

jazzy2912

de **Sebastien** le Dim Juil 01, 2007 12:11 am

Si le disque F est simplement un disque de sauvegarde, alors il suffira probablement de supprimer les fichiers manuellement.

Le principal reste de supprimer les éléments suivants :

Code: Tout sélectionner: Potentially unwanted tool:application/funweb Not disinfected c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf Potentially unwanted tool:application/mywebsearch Not disinfected hkey_classes_root\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179}

Pour supprimer la clé dans le registre, nous allons utiliser HiJackThis.
Faites un scan avec HijackThis et postez votre fichier log. Voici comment faire :

Comment faire un scan avec le logiciel HijackThis :

:arrow:

Téléchargez la dernière version du logiciel HijackThis.
Site de téléchargement : Site officiel de HijackThis

:arrow:

Décompressez l'archive à l'aide d'un logiciel de décompression (7-zip, Izarc, etc.)
Pour plus de facilités, il est conseillé de décompresser le contenu de l'archive dans un dossier nommé hijackthis et de placer ce dossier dans le répertoire C:\Program Files\

:arrow:

Rendez-vous dans le répertoire que vous venez de créer et exécutez le fichier nommé HijackThis.exe ou HiJackThis_v2.exe

:arrow:

Cliquez sur Do a system Scan and save a logfile
Le logiciel va scanner votre ordinateur et une fois ce scan terminé, il va créer un fichier texte récapitulant toutes les informations qu'il a trouvé durant son analyse.
Note : toutes les informations contenues dans ce fichier ne font pas systématiquement référence à des logiciels malveillants. Ce fichier est un état de votre PC. C'est un fichier qu'il est nécessaire d'analyser. Il est possible que toutes les lignes du fichiers fassent références à des fichiers tout à fait légitimes.

:arrow:

Enregistrez le fichier log et fermez HijackThis.

:arrow:

Sélectionnez le contenu du fichier log précédemment créé et collez-le dans un message sur le forum.

de **jazzy2912** le Dim Juil 01, 2007 1:32 pm

Bonjour Sébastien,

J'ai suivi vos instructions, bon, e cheminement ne s'est pas déroulé comme prévu (par ex. pas besoin de décompresser), mais je crois que le résultat est bien celui qu'on attendait.

Donc, voici le scan Highjackthis :

Logfile of HijackThis v1.99.1
Scan saved at 12:48:47, on 01.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Program Files\CA\SharedComponents\HIPSEngine\UmxCfg.exe
C:\Program Files\CA\SharedComponents\HIPSEngine\UmxFwHlp.exe
C:\Program Files\CA\SharedComponents\HIPSEngine\UmxPol.exe
C:\Program Files\CA\SharedComponents\HIPSEngine\UmxAgent.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\CA\SharedComponents\PPRT\bin\ITMRTSVC.exe
C:\Windows\system32\HPZipm12.exe
C:\Windows\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Windows\System32\svchost.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\Windows\Explorer.EXE
C:\Program Files\CA\CA Internet Security Suite\CA Personal Firewall\capfsem.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
C:\Program Files\inKline Global\PC Booster\pcbooster.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CA\CA Internet Security Suite\CA Personal Firewall\capfasem.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.1.17.0\QOELoader.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe
C:\Windows\system32\ctfmon.exe
C:\program files\voipbuster.com\voipbuster\voipbuster.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Spyware\CAPPActiveProtection.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\StarOffice6.0\program\soffice.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.1.17.0\qoeapp.exe
c:\program files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - C:\PROGRA~1\SUNRIS~1\Bin\OdigoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [cctray] "C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Program Files\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [cafwc] C:\Program Files\CA\CA Internet Security Suite\CA Personal Firewall\cafw.exe -cl
O4 - HKLM\..\Run: [capfasem] C:\Program Files\CA\CA Internet Security Suite\CA Personal Firewall\capfasem.exe
O4 - HKLM\..\Run: [capfupgrade] C:\Program Files\CA\CA Internet Security Suite\CA Personal Firewall\capfupgrade.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [QOELOADER] "C:\Program Files\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.1.17.0\QOELoader.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Iomega Automatic Backup] C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\program files\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: StarOffice 6.0.lnk = C:\Program Files\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/fr/hom/default.asp
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/St ... b40641.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZB ... b32846.cab
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/168aee30813f4771f3 ... 601_fr.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZP ... b32846.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web3.photocolor.net/PhotoProduct ... loader.cab
O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v ... b34246.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Shared ... /cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsup ... mAData.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/St ... b41227.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsup ... veData.cab
O16 - DPF: {FF3C5A9F-5A99-4930-80E8-4709194C2AD3} (ZPA_Backgammon Object) - http://zone.msn.com/bingame/zpagames/ZP ... b40641.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: PFW - C:\Windows\SYSTEM32\UmxWnp.Dll
O20 - Winlogon Notify: WgaLogon - C:\Windows\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: CaCCProvSP - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: CA Pest Patrol Realtime Protection Service (ITMRTSVC) - CA, Inc. - C:\Program Files\CA\SharedComponents\PPRT\bin\ITMRTSVC.exe
O23 - Service: LVCOMSer - Unknown owner - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\Windows\system32\HPZipm12.exe
O23 - Service: PPCtlPriv - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Spyware\PPCtlPriv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: HIPS Event Manager (UmxAgent) - CA - C:\Program Files\CA\SharedComponents\HIPSEngine\UmxAgent.exe
O23 - Service: HIPS Configuration Interpreter (UmxCfg) - CA - C:\Program Files\CA\SharedComponents\HIPSEngine\UmxCfg.exe
O23 - Service: HIPS Firewall Helper (UmxFwHlp) - CA - C:\Program Files\CA\SharedComponents\HIPSEngine\UmxFwHlp.exe
O23 - Service: HIPS Policy Manager (UmxPol) - CA - C:\Program Files\CA\SharedComponents\HIPSEngine\UmxPol.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe

A bentôt. Remerciements et salutations.

jazzy2912

de **Sebastien** le Dim Juil 01, 2007 3:16 pm

Bon, apparemment la clé n'est pas listée dans HijackThis. Il va falloir la supprimer à la main.

Avant toute chose, je vous précise qu'une mauvaise manipulation dans la base de registre peut entrainer de graves dysfonctionnements. Il est donc important de faire attention à ce que l'on fait.
Pour éviter les problèmes, nous allons au préalable sauvegarder la clé que nous allons supprimer. Nous pourrons donc la restaurer en cas de problème.

1 : Ouvrir REGEDIT (démarrer > Exécuter > REGEDIT)

2 : Développez hkey_classes_root en cliquant sur le petit plus se situant à gauche de la clé.

3 : Recherchez CLSID et développez la clé en cliquant sur le petit +

4 : Recherchez la clé {9AFB8248-617F-460d-9366-D71CDEDA3179} et faite un clic droit dessus. Sélectionnez Exporter. Enregistrez le fichier .reg sur votre bureau. Ce fichier correspond à une sauvegarde de la clé. Il suffira de double cliquer dessus pour restaurer la clé.

5 : Une fois la clé sauvegardée, sélectionnez la clé {9AFB8248-617F-460d-9366-D71CDEDA3179} dans REGEDIT, faites un clic droit dessus et choisissez Supprimer.

6 : Supprimez ces fichiers :
c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf
F:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler V3.exe
F:\Documents and Settings\Administrateur\Bureau\PowerReg Scheduler V3.exe

7 : Redemarrez le PC et refaites un scan avec Panda (puisque c'est cet antivirus qui detecte les fichiers que nous tentons de supprimer).

Un commentaire : Cela vous permettra de nettoyer le PC, ce qui n'est pas un mal, au contraire, mais je ne pense pas que cela permette de résoudre le problème initial qui était un bug d'affichage sur certains sites.

Tenez-nous au courant

de **jazzy2912** le Dim Juil 01, 2007 6:02 pm

Re-bonjour,

J'ai suivi vos instructions, malheureusement je n'arrive pas à supprimer

c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf

.

Quand je le demande avec Execute, il y a une page de bloc-notes qui s'ouvre, mais je n'arrive pas à remonter la hierarchie d'un cran pour le supprimer. Je peux bien supprimer le contenu du document,que voici :
; INF file for Fun Web Products Easy Installer
[version]
; version signature (same for both NT and Win95) do not remove
signature="$CHICAGO$"
AdvancedINF=2.0

[Setup Hooks]
FunWebProductsSetupHook=FunWebProductsSetupHook

[FunWebProductsSetupHook]
run=%EXTRACT_DIR%\f3Setup1.exe

; ====================== end of f3Setup1.inf =====================

mais pas le document lui même.

En suivant le chemin normal, il n'y pas de f3initialsetup1.0.0.15.inf dans DLP. J'ai encore essayé avec la recherche, sans résultat. Pourtant cette page de Bloc Notes, elle doit bien se trouver quelque part puisqu'elle s'ouvre sur mon bureau...

Je suis perplexe. Je n'ai naturellement pas fait de scan, j'attends de pouvoir supprimer cet absurdité, avec votre aide, bien sûr!

Merci et à bientôt.

jazzy 2912

de **Sebastien** le Dim Juil 01, 2007 9:59 pm

Peut-être que vous avez activé l'option Masquer les fichier cachés et les fichiers systèmes.

Outils > Options des dossiers > Onglet Affichage > Afficher les fichiers et les dossiers cachés.
Vous pouvez aussi désactiver le masquage des fichiers protégés par le système.

Si vous ne pouvez toujours pas effacer le fichier, tentez de le faire en mode sans échec.

Enfin, une suggestion, évitez de lancer les fichiers en passant par la commande exécuter car si vous aviez fait ça avec un exécutable contaminé, vous auriez exécuté le virus.

de **jazzy2912** le Lun Juil 02, 2007 5:35 pm

Bonjour,

Outils > Options des dossiers > Onglet Affichage > Afficher les fichiers et les dossiers cachés.

Position déjà activée

Peut-être que vous avez activé l'option Masquer les fichier cachés et les fichiers systèmes

Vous pouvez aussi désactiver le masquage des fichiers protégés par le système

Position activée que j'ai désactivée

Si vous ne pouvez toujours pas effacer le fichier, tentez de le faire en mode sans échec.

Pour faire le mode sans échec, j'ai suivi les instructions que vous aviez donné à Laurence dans un de vos posts pour résoudre son problème de publicités intempestives : ça fait des gros caractères et un écran tout noir.

Bon, sous ce mode sans échec, ça ne donne rien non plus : je ne peux pas effacer ce fichu fichier f3initialsetup1.0.0.15.inf parce que je ne le trouve pas :-(

Autre problème : depuis ce matin, j'ai lancé un scan Panda (malgré la lacune évoquée avant) et il tourne sans arrêt mais sans résultat. Je l'ai arrêté et relancé à 14.00 h et il a l'air de faire son travail sans problème, mais fait 3 h. 30 qu'il tourne sans résultat, comme ce matin...
Il ne me semble pas que ça prenait si longtemps la première fois.
Est-ce-que j'aurais dû restaurer le REGEDIT ou autre chose?

A bientôt et merci!

jazzy2912

de **Sebastien** le Lun Juil 02, 2007 8:29 pm

ça fait des gros caractères et un écran tout noir.

Je suppose que vous voulez parler du fait que la résolution de l'écran dans ce mode ne dépasse pas les 640*480

Aperçu :

Nous allons tenter d'effacer le fichier par un autre moyen.
Connectez-vous en mode sans echec (pour rappel, voici la méthode : Comment démarrer Windows en mode sans echec ?)

Lancez une session en tant qu'administrateur.

Aperçu :

Une fois sur le bureau, cliquez sur Démarrer > Exécuter et saisissez la commande CMD

Une fois l'invite de commande ouverte tapez les lignes de commande suivantes :
C:\Documents and Settings\Administrateur>cd \
C:\>cd windows
C:\WINDOWS>cd downloaded program files
C:\WINDOWS\Downloaded Program Files>dir *inf

La commande devrait lister tout les fichiers inf du répertoire Downloaded Program Files. Sur l'un de mes PC, elle retourne le résultat suivant :

Code: Tout sélectionner: Répertoire de C:\WINDOWS\Downloaded Program Files 13/04/2007 15:27 367 LegitCheckControl.inf 09/11/2006 15:36 5 019 swflash.inf 26/05/2005 05:19 291 wuweb.inf

Aperçu :

Retrouvez-vous le fichier en question dans la liste ?
Si oui, tentez de le supprimer en tapant la commande :
C:\WINDOWS\Downloaded Program Files>del f3initialsetup1.0.0.15.inf

Tenez-nous au courant.

de **jazzy2912** le Mar Juil 03, 2007 1:43 pm

Bonjour,

Finalement, avec vos instructions, je suis arrivée à effacer le fichier f3initialsetup1.0.0.15.inf.

J'ai fait le scan Panda, que voici :

Incident Status Location

Potentially unwanted tool:application/mywebsearch Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44cf-8957-5838F569A31D}
Potentially unwanted tool:Application/Processor Not disinfected C:\Program Files\Navilog1\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Spyware:Cookie/Xiti Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
Spyware:Cookie/2o7 Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt
Spyware:Cookie/2o7 Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[2].txt
Spyware:Cookie/Com.com Not disinfected F:\Documents and Settings\Administrateur\Cookies\administrateur@com[2].txt
Spyware:Cookie/2o7 Not disinfected F:\Révisions\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].(2).txt
Potentially unwanted tool:Application/PRScheduler Not disinfected F:\Recycled\Df1.exe
A bientôt et merci

jazzy2912

de **Sebastien** le Mar Juil 03, 2007 7:53 pm

Bon alors votre log nous permettra de rappeler qu'il faut toujours regarder une analyse avec un oeil critique et se méfier des résultats.

En effet, le log présente les entrées suivantes comme néfastes :

Potentially unwanted tool:Application/Processor Not disinfected C:\Program Files\Navilog1\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe

Ce n'est pas le cas car Process.exe est un exécutable permettant à des logiciels de nettoyage (comme navilog ou Smithfraud) de stopper des processus en cours pour mieux les effacer. En effet, utilisé à mauvais escient, il pourrait effectivement contribuer à affaiblir la sécurité de l'ordinateur mais ce n'est pas le cas ici.

Désinstallez navilog puisque nous n'en avons plus besoin. Supprimez Process.exe pour éviter les fausses alertes ultérieurs (si vous avez un doute, vous pouvez le déplacer sur votre bureau puis le supprimer dans quelques jours quand vous n'aurez pas constaté de problème suite à son déplacement)

Pour ce qui est de la clé suivante, c'est une autre histoire :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44cf-8957-5838F569A31D}

Pouvez-vous rescanner le pc avec HijackThis ? C'est étonnant qu'il ne détecte pas cette clé.

Pouvez-vous également vérifier si vous avez un dossier de ce style sur votre pc :
c:\program files\mywebsearch\srchastt\4.bin\mwssrcas.dll

Set-Cookie

Qui est en ligne