Problème Appcrash [resolu]

[christine]

Bonjour j'ai pleins de souci avec APPCASH, je vous decrit et si quelqu'un peut m'aider ce serai géniale:

Signature du problème
Nom d’événement du problème : APPCRASH
Nom de l’application: ashWebSv.exe
Version de l’application: 4.8.1229.0
Horodatage de l'application: 48873f65
Nom du module par défaut: ashWebSv.exe
Version du module par défaut: 4.8.1229.0
Horodateur du module par défaut: 48873f65
Code de l’exception: c0000005
Décalage de l’exception: 00013368
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036
Information supplémentaire n° 1: c781
Information supplémentaire n° 2: 9c3ef2ac4b2f19e24c365c76c7772ce9
Information supplémentaire n° 3: 421b
Information supplémentaire n° 4: 9a615b4f1e7b6e4bb5d44afc3447386a

Signature du problème
Nom d’événement du problème : APPCRASH
Nom de l’application: ccwom.exe
Version de l’application: 0.0.0.0
Horodatage de l'application: 4055cdbc
Nom du module par défaut: StackHash_8c05
Version du module par défaut: 0.0.0.0
Horodateur du module par défaut: 00000000
Code de l’exception: c0000005
Décalage de l’exception: 019edb10
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036
Information supplémentaire n° 1: 8c05
Information supplémentaire n° 2: 047e6ca0ac8652899ad7bbb95d5866e2
Information supplémentaire n° 3: 427e
Information supplémentaire n° 4: 9a2f368f83ffa467d5f05f5840d0033e

Signature du problème
Nom d’événement du problème : APPCRASH
Nom de l’application: cgqwq.exe
Version de l’application: 0.0.0.0
Horodatage de l'application: 40d4fd97
Nom du module par défaut: StackHash_8fd3
Version du module par défaut: 0.0.0.0
Horodateur du module par défaut: 00000000
Code de l’exception: c0000005
Décalage de l’exception: 015bb5f8
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036
Information supplémentaire n° 1: 8fd3
Information supplémentaire n° 2: 84ae9e03c4de3869962898bb98a8fff2
Information supplémentaire n° 3: 2891
Information supplémentaire n° 4: 6821d99a0096ac6a62ba42fc5cbf492f

Signature du problème
Nom d’événement du problème : APPCRASH
Nom de l’application: ChkLicenceNS.exe
Version de l’application: 2.0.0.2
Horodatage de l'application: 434d1185
Nom du module par défaut: ntdll.dll
Version du module par défaut: 6.0.6000.16386
Horodateur du module par défaut: 4549bdc9
Code de l’exception: c0000005
Décalage de l’exception: 00043a93
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036
Information supplémentaire n° 1: 7281
Information supplémentaire n° 2: 9c4909acdd989d48ada11de8a7a2b05f
Information supplémentaire n° 3: c81b
Information supplémentaire n° 4: 79770811c1e556a25c7b9249c63d2635

Signature du problème
Nom d’événement du problème : APPCRASH
Nom de l’application: esawq.exe
Version de l’application: 0.0.0.0
Horodatage de l'application: 482578fe
Nom du module par défaut: StackHash_5063
Version du module par défaut: 0.0.0.0
Horodateur du module par défaut: 00000000
Code de l’exception: c0000005
Décalage de l’exception: 0152b5ec
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036
Information supplémentaire n° 1: 5063
Information supplémentaire n° 2: f48a54ccd4c9f2455419eb4f2bf2420d
Information supplémentaire n° 3: 8428
Information supplémentaire n° 4: 63e949ddd905902f14a774a52b7fac4b

Signature du problème
Nom d’événement du problème : APPCRASH
Nom de l’application: charmtale2download[1].exe
Version de l’application: 1.0.0.1
Horodatage de l'application: 47c67a9d
Nom du module par défaut: kernel32.dll
Version du module par défaut: 6.0.6000.16386
Horodateur du module par défaut: 4549bd80
Code de l’exception: c0000005
Décalage de l’exception: 000443b7
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036
Information supplémentaire n° 1: ac7b
Information supplémentaire n° 2: 9d894b76fdd1ab5308891fa25f556478
Information supplémentaire n° 3: 4b64
Information supplémentaire n° 4: fe6a4d580adfade80ed82b912aca50e2

Signature du problème
Nom d’événement du problème : APPCRASH
Nom de l’application: iexplore.exe
Version de l’application: 7.0.6000.16643
Horodatage de l'application: 47bce1b0
Nom du module par défaut: InternetSoftware-1.dll
Version du module par défaut: 1.0.0.1
Horodateur du module par défaut: 47780313
Code de l’exception: c0000005
Décalage de l’exception: 00046caa
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036
Information supplémentaire n° 1: 8d13
Information supplémentaire n° 2: cdca9b1d21d12b77d84f02df48e34311
Information supplémentaire n° 3: 8d13
Information supplémentaire n° 4: cdca9b1d21d12b77d84f02df48e34311

Signature du problème
Nom d’événement du problème : APPCRASH
Nom de l’application: mocuikw.exe
Version de l’application: 0.0.0.0
Horodatage de l'application: 41956802
Nom du module par défaut: StackHash_5063
Version du module par défaut: 0.0.0.0
Horodateur du module par défaut: 00000000
Code de l’exception: c0000005
Décalage de l’exception: 0092b417
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036
Information supplémentaire n° 1: 5063
Information supplémentaire n° 2: f48a54ccd4c9f2455419eb4f2bf2420d
Information supplémentaire n° 3: 8428
Information supplémentaire n° 4: 63e949ddd905902f14a774a52b7fac4b

pleins de chose en ce genre...

[bernard53]

bon je te réponds ici pour ne pas empiété sur le post précédent.

Fait ceci.

UAC désactivé
<<Désactiver l’UAC de VISTA>>

On réactiveras UAC à la fin de cette désinfection.

Télécharge ToolBar-S&D (D'Angeldark, Sham_Rock & XmichouX) sur ton bureau.

Double-clique sur l'icône afin de lancer l’installation.

Une fois installé, un raccourci sera ajouté sur le Bureau. Double-clique dessus pour démarrer l’outil.

dans la fenêtre qui s'ouvre, pour le langue tape "F" appuis un fois sur la touche "entrer"

dans la fenêtre qui s'ouvre fais la choix N°1 (recherche) appuis un fois sur la touche "entrer"

Patiente jusqu'à la fin de la recherche :sauvegarde le rapport qui s'ouvre à la fin du scan sur ton bureau et poste le dans ta prochaine réponse stp...

Poste le rapport généré : (C:\TB.txt)



Relance HijackThis > Do a system scan only > coche ces lignes: ensuite valides sur Fix checked
R3 - URLSearchHook: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Program Files\Kiwee Toolbar2\1.3.118\KiweeIEToolbar.dll (file missing)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MaBtSh] C:\Program Files\Mobile Action\Bluetooth Manager\MaBtSh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eFax 4.3] "C:\Program Files\eFax Messenger 4.3\J2GDllCmd.exe" /R
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [esawq] "c:\users\christine\appdata\local\esawq.exe" esawq
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe



Ensuite ceci.
Télécharge OTMoveIt (d’Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/ol ... oveIt2.exe

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous dans la fenêtre selon image ci jointe.

c:\users\christine\appdata\local\esawq.exe
EmptyTemp

Clique sur MoveIt! Pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dansC:\_OTMoveIt\MovedFiles.Exemple:(01282008_131348.log )

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.


ensuite:

Fais Démarrer > Exécuter et saisis : (faire un copier-coller des commandes)

sc stop "Boonty Games"

valides OK

Idem ceci à suivre :

sc delete "Boonty Games"

valides OK

Et si tu n'utilises pas ceci:
C:\Program Files\Common Files\BOONTY Shared tu le supprimes.


Ensuite :

Installe Malewarebytes' Antimalware,
Téléchargement et tuto

Met-le à jour puis passe en mode sans échec :
http://www.pcloisirs.eu/mode_sans_echec.htm

Choisi, Exécuter un examen complet
Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.


Ensuite dis moi quels sont encore tes alertes.


par contre pas de soucis, le fait de fixer certaines lignes ne supprimes en rien le logiciel cité.

[christine]

Rapport de toolbar:

-----------\\ ToolBar S&D 1.0.9 XP/Vista

[ Windows VISTA (NT 6.0) Workstation Build 6001, Service Pack 1 ]
[ USER : Christine ] [ "C:\Toolbar SD" ] [ Selection : 1 ]
[ 15/08/2008 | 12:34:32,68 ] [ PC : PC-DE-CHRISTINE ]
[ MAJ : 13-08-2008 | 14:08 ]
[ UAC => 0 ]

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Program Files\Conduit
C:\Program Files\Conduit\Community Alerts
C:\Program Files\FBrowserAdvisor
C:\ProgramData\GamesBar
C:\Program Files\GamesBar
C:\Program Files\GamesBar\Localization-French.ini
C:\Program Files\InternetSoftware
C:\Program Files\InternetSoftware\pcre3.dll
C:\Program Files\InternetSoftware\uninstall.exe
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\PlayMP3z
C:\Program Files\PlayMP3z
C:\Program Files\PlayMP3z\uninstall.exe
C:\Users\CHRIST~1\AppData\Local\Temp\tem1BEF.tmp.exe
C:\Users\CHRIST~1\AppData\Local\Temp\tem3635.tmp.exe
C:\Users\CHRIST~1\AppData\Local\Temp\tem52B0.tmp.exe
C:\Users\CHRIST~1\AppData\Local\Temp\tem6C4A.tmp.exe

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://fr.msn.com/"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop"
"Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://recherche.neuf.fr/"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"


--------------------\\ Recherche d'autres infections

C:\Users\CHRIST~1\AppData\Roaming\MessengerSkinner
C:\Users\CHRIST~1\AppData\Roaming\MessengerSkinner\Userdata
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Conditions g‚n‚rales.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Confidentialit‚.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\D‚sinstaller.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\MessengerSkinner.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Website.url
C:\Program Files\WebMediaPlayer

[christine]

rapportde OTmovelt:
File/Folder c:\users\christine\appdata\local\esawq.exe not found.
< EmptyTemp >
File delete failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08152008_124448

Files moved on Reboot...
File move failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

[bernard53]

bon très bien j'attends juste ton rapport Malewarebytes et je te donne le suite.

[christine]

oui il est en cours, ça met combien de temp a peu pres?

[bernard53]

il faut selon les pc entre 1h et 2heures

[christine]

Voila le rapport

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1054
Windows 6.0.6001 Service Pack 1

14:24:36 15/08/2008
mbam-log-8-15-2008 (14-24-33).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194173
Temps écoulé: 1 hour(s), 15 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 7
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\internetsoftware.pornpro_bho (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\internetsoftware.pornpro_bho.1 (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webmediaplayer (Adware.EGDAccess) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\playmp3 (Adware.PlayMP3Z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> No action taken.
C:\Program Files\WebMediaPlayer\resources (Adware.EGDAccess) -> No action taken.
C:\Program Files\WebMediaPlayer\skins (Adware.EGDAccess) -> No action taken.
C:\Program Files\WebMediaPlayer\updates (Adware.EGDAccess) -> No action taken.
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Program Files\PlayMP3z (Adware.PlayMP3Z) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMP3z (Adware.PlayMP3Z) -> No action taken.

Fichier(s) infecté(s):
C:\Users\Christine\Local Settings\Application Data\esawq_navps.dat (Adware.Navipromo) -> No action taken.
C:\Users\Christine\Local Settings\Application Data\esawq_nav.dat (Adware.Navipromo) -> No action taken.
C:\Users\Christine\Local Settings\Application Data\esawq.dat (Adware.Navipromo) -> No action taken.
C:\regxpcom.exe (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Program Files\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> No action taken.
C:\Program Files\WebMediaPlayer\uninst.exe (Adware.EGDAccess) -> No action taken.
C:\Program Files\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> No action taken.
C:\Program Files\WebMediaPlayer\resources\languages_v2.xml (Adware.EGDAccess) -> No action taken.
C:\Program Files\WebMediaPlayer\resources\webmedias (Adware.EGDAccess) -> No action taken.
C:\Program Files\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> No action taken.
C:\Program Files\PlayMP3z\uninstall.exe (Adware.PlayMP3Z) -> No action taken.
C:\Windows\System32\nvs2.inf (Adware.EGDAccess) -> No action taken.

[nardino]

Bonjour,
Juste une incruste pour signaler qu'il faut faire passer navilog avant Malwarebytes, les chances de nettoyage de navirpromo sont bien meilleures, MBAM ne nettoie pas tous les fichiers ni les certificats.
Il faut le faire passer malgré tout maintenant.
@+

[bernard53]

bon ok ceci à suivre.

Pour cela

:\Windows\System32\nvs2.inf (Adware.EGDAccess) -> No action taken.

Tu as bien valider la suppression.

Pour ceci nardino.

qu'il faut faire passer navilog avant Malwarebytes

tu as entiérement raison mais "Malwarebytes" était lancé quand j'ai vu tout cela:

\Users\CHRIST~1\AppData\Roaming\MessengerSkinner
C:\Users\CHRIST~1\AppData\Roaming\MessengerSkinner\Userdata
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Conditions g‚n‚rales.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Confidentialit‚.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\D‚sinstaller.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\MessengerSkinner.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Website.url
C:\Program Files\WebMediaPlayer

donc maintenant STP.

Double clique sur le raccourci pour démarrer l'outil.

dans la fenêtre qui s'ouvre, pour la langue tape "F" appuis une fois sur la touche "entrer"

dans la fenêtre qui s'ouvre fais le choix N°2 (Suppression) appuis une fois sur la touche "entrer"

Patiente jusqu'à la fin de la recherche : sauvegarde le rapport qui s'ouvre à la fin du scan sur ton bureau et poste le dans ta prochaine réponse stp...

Poste le rapport généré : (C:\TB.txt)


Ensuite:

Télécharge : Navilog1

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides par Entrée
(Ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copier-coller l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

[christine]

rapport:

-----------\\ ToolBar S&D 1.0.9 XP/Vista

[ Windows VISTA (NT 6.0) Workstation Build 6001, Service Pack 1 ]
[ USER : Christine ] [ "C:\Toolbar SD" ] [ Selection : 2 ]
[ 15/08/2008 | 17:17:45,79 ] [ PC : PC-DE-CHRISTINE ]
[ MAJ : 13-08-2008 | 14:08 ]
[ UAC => 0 ]

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\Conduit\Community Alerts
Supprime! - C:\Program Files\GamesBar\Localization-French.ini
Supprime! - C:\Program Files\InternetSoftware\pcre3.dll
Supprime! - C:\Program Files\InternetSoftware\uninstall.exe
Supprime! - C:\Program Files\Conduit
Supprime! - C:\ProgramData\GamesBar
Supprime! - C:\Program Files\GamesBar
Supprime! - C:\Program Files\InternetSoftware

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://fr.msn.com/"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop"
"Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://recherche.neuf.fr/"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"


--------------------\\ Recherche d'autres infections

C:\Users\CHRIST~1\AppData\Roaming\MessengerSkinner
C:\Users\CHRIST~1\AppData\Roaming\MessengerSkinner\Userdata
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Conditions g‚n‚rales.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Confidentialit‚.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\D‚sinstaller.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\MessengerSkinner.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\MessengerSkinner\Website.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Conditions g‚n‚rales.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Confidentialit‚.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\D‚sinstaller.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\WebMediaPlayer.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Website.url
==> EGDACCESS <==

--------------------\\ Cracks & Keygens ..

C:\Users\CHRIST~1\AppData\Local\VirtualStore\Program Files\GoPets Ltd\Effect\motion\effect_all firecracke.EMT
C:\PROGRA~2\Fugazo\Cooking Academy\cached\sounds\eggcrack.wav


[ UAC => 1 ]

[bernard53]

mets moi le rapport navilog1

ensuite ceci est'il légal.

C:\Users\CHRIST~1\AppData\Local\VirtualStore\Program Files\GoPets Ltd\Effect\motion\effect_all firecracke.EMT
C:\PROGRA~2\Fugazo\Cooking Academy\cached\sounds\eggcrack.wav

Je ne connais pas et j'ai un doute.

[christine]

Voila le rapport de navilog1

Search Navipromo version 3.6.3 commencé le 15/08/2008 à 18:22:43,37

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Christine"

Mise à jour le 09.08.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\MessengerSkinner trouvé !
...\WebMediaPlayer trouvé !

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\christ~1\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\Christine\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\CHRIST~1\AppData\Roaming" ***

...\MessengerSkinner trouvé !

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Christine\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Christine\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\Christine\AppData\Local" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Christine\AppData\Local\Microsoft" :


* Dans "C:\Users\Christine\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users\Christine\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 15/08/2008 à 18:32:53,64 ***

[bernard53]

OK ceci a suivre STP.

Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau,
et choisis "Exécuter en tant qu'administrateur".

Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(Si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaitre

PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaitre ton bureau.


ensuite refait un passage de Malewarebytes comme précédant et mets tous les rapports.
Tu devrais être tranquille

Remets juste un rapport hijackthis pour confirmer cela.

[christine]

Merci, là j'ai relancer Malwarebytes, et je te dirais.