C:\windows\system32\ywrnlu.exe RAPPORT HIJACKTHIS - Mode sans échec impossible

saturne500 · Novembre 17, 2006, 5:10

Bonsoir,

J’ai installé tantot le programme InternetGameBox. C’est un programme qu’on met pr jouer en ligne … Cependant, ce prog voulait accéder à ma base de registre alors j’ai dit à Kaspersky de le bloquer … Jai donc supprimé le prog mais depuis, j’ai tt le temps cette alerte qui revient

16/11/2006 20:07:29 C:\windows\system32\ywrnlu.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ywrnlu c:\windows\system32\ywrnlu.exe ywrnlu Ligne Unicode terminée par zéro Création interdit

J’ai fait une analyse avec Kaspersky 6.0, avec Ccleaner, spybot, ad-aware mais ca continue …

Comment puis je faire pr résoudre ce soucis svp ?

De plus, cette crasse ne me laisse mm plus redémarrer en mode sans échec Il est écrit qu’un programme ou un new matériel pourrait etre à l’origine de ca et il me propose de redémarrer en mode normal ou selon la dernière bonne config mais si je refuse, il relance le pc en me remettant soit la mm chose qd je réessaie en F8 ou, si je ne fais rien, en mode normal …

Voici mon rapport HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 21:33:06, on 16/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\LVComsX.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Catherine\Bureau\SATURNE.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://coolbox.be/slk200
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\…\Run: [kav] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d’impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: FortisCzPc - https://www.fortisbanking.be/FortisCzPC.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - https://download.macromedia.com/pub/shockwa…director/sw.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse…pdownloader.cab
O18 - Protocol: bw+0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: offline-8876480 - {E87279DD-1BA8-4987-A066-01272D4CAA8D} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

Merci d’avance

Torque_Roll · Novembre 17, 2006, 5:43

Salut,
Peux tu aller dans le dossier ou se situe ce virus, pour le renommer ?
par exemple : ywrnlu.exe > ywrnlu.exeppp

Lorsque tu scannes avec Spybot, trouve t-il des infections ? et les retrouve t-il en les ayant supprimer ?

Torque_Roll · Novembre 17, 2006, 5:52

Je soupçonne un rootkit, car les antivirus ne voient rien.
Telecharge Blacklight :
https://europe.f-secure.com/exclude/blacklight/index.shtml
prend le premier "download" en haut de la page web. Execute le, accepte les conditions puis > scan. Si il trouve quelque chose, dis le moi.

saturne500 · Novembre 17, 2006, 6:13

Non, je ne le trouve pas quand je fais une recherche et je suis en train de faire l’analyse Blacklight comme tu me l’as conseillé et Spybot car je ne sais plus ce qu’il avait trouvé ou non vu que c’est hier que j’avais déjà fait cette analyse

Je te dis quoi dès que c fait

Merci

Torque_Roll · Novembre 17, 2006, 6:16

ça marche

saturne500 · Novembre 17, 2006, 6:17

Voici mon rapport Blacklight, c’est effectivement l’exe trouvé par ce prog qui me tracassait … Que faire pr s’en débarrasser stp ?

11/17/06 18:10:32 [Info]: BlackLight Engine 1.0.47 initialized
11/17/06 18:10:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/17/06 18:10:32 [Note]: 7019 4
11/17/06 18:10:32 [Note]: 7005 0
11/17/06 18:10:36 [Note]: 7006 0
11/17/06 18:10:36 [Note]: 7011 2292
11/17/06 18:10:46 [Note]: 7026 0
11/17/06 18:10:46 [Note]: 7026 0
11/17/06 18:10:46 [Note]: 7024 3
11/17/06 18:10:46 [Info]: Hidden process: C:\windows\system32\ywrnlu.exe
11/17/06 18:10:46 [Note]: FSRAW library version 1.7.1020
11/17/06 18:12:55 [Info]: Hidden file: c:\WINDOWS\Prefetch\YWRNLU.EXE-357812E6.pf
11/17/06 18:12:55 [Note]: 10002 1
11/17/06 18:13:50 [Info]: Hidden file: c:\WINDOWS\system32\ywrnlu.dat
11/17/06 18:13:50 [Note]: 10002 1
11/17/06 18:13:50 [Info]: Hidden file: C:\windows\system32\ywrnlu.exe
11/17/06 18:13:50 [Note]: 10002 1
11/17/06 18:13:51 [Info]: Hidden file: c:\WINDOWS\system32\ywrnlu_nav.dat
11/17/06 18:13:51 [Note]: 10002 1
11/17/06 18:13:51 [Info]: Hidden file: c:\WINDOWS\system32\ywrnlu_navps.dat
11/17/06 18:13:51 [Note]: 10002 1
11/17/06 18:15:57 [Note]: 7007 0

Torque_Roll · Novembre 17, 2006, 6:21

Impeccable !!! :bounce:
C’est un rootkit, demande à Blacklight de renommer les 5 fichiers se ressemblant > rename.
Tu devrais les voir apparaitre maintenant dans les chemins que te donne Blacklight et supprime les manuellement (action non obligatoire car une fois renommer,ils sont inactifs)

saturne500 · Novembre 17, 2006, 6:26

Et comment dois je faire pr lui demander de les renommer stp ? :pt1cable:

Torque_Roll · Novembre 17, 2006, 6:33

sous les noms de fichiers, tu ne vois pas "rename" ?

saturne500 · Novembre 17, 2006, 6:39

Si, j’ai trouvé entre temps lol merci … mais il me demande de relancer, je fais ca now …

Voici le rapport Spybot

— Search result list —
Command Service: Réglages (Clé du registre, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Réglages (Clé du registre, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService

Command Service: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService

Command Service: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\cmdService

Il y en a deux qu’il n’a pas su supprimer mais qd je relance et qu’il réanalyse sans échec, il ne sait qd mm pas les effacer …

Torque_Roll · Novembre 17, 2006, 6:47

Je pense que si il n’arrive pas à les supprimer, c’est une histoire d’autorisations…
Il faudrait se rendre dans le registre afin de modifier les autorisations de ces clés.

Si tu avez telechargé InternetGameBox, pourrais-tu me donner le lien en message privé ?

saturne500 · Novembre 17, 2006, 6:52

Et comment fait-on pr modifier les autorisations ? lol

Voilà pr InternetGameBox, message envoyé Heuuuu … n’infecte pas ta machine hein, sinon ben, je t’aiderai qd mm à la désinfecter, maintenant que je sais comment on fait mdr :pt1cable:

Torque_Roll · Novembre 17, 2006, 7:14

Bon on va essayer de modifier les autorisations, mais attention, en cas de fausse manipulation, tu risques d’endommager Windows et de ne plus pouvoir démarrer (dans le pire des cas)

Dans le menu démarrer, clique sur Executer et rentre regedit + OK.
Dans la fenêtre qui s’ouvre, dans la colonne de gauche, développe les lignes en te repérant avec le(s) nom(s) que SPYBOT t’as donné.
Exemple pour HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService :
> double clique sur HKEY_LOCAL_MACHINE puis la même chose sur SYSTEM et ainsi de suite.

Une fois sur la ligne complète (regarde le nom en bas de la fenêtre de l’éditeur de registre pour verifier), fais un clique droit > autorisations > coche la case “autoriser” de tout les noms d’utilisateurs.
Referme l’éditeur et relance Spybot.

edit : en cas de doutes, tu peux au prealable, sauvegarder les clés en les exportant (toujours avec le clique droit), donne leur un nom. Pour les remettre dans le registre, un double clique sur ta sauvegarde.

Torque_Roll · Novembre 17, 2006, 7:19

Oki ça marche :ane: à bientot sur Clubic :MDR

saturne500 · Novembre 17, 2006, 7:33

lol contente que tu sois heureux d’etre infecté mdrr Comique ! :ane:

J’ai cependant encore une petite question … Mais pas dénué d’intéret pr moi lol Je n’arrive toujours pas à démarrer en mode sans échec, il me dit que ca peut etre dû à l’installation d’un prog ou d’un périphérique (de mémoire) et que je dois alors redémarrer en mode normal ou suivant la dernière bonne config connue … :grrr:

Torque_Roll · Novembre 17, 2006, 8:08

Re toi

si si je vais l’installer, fais moi confiance, je sais comment retrouver mon PC dans le même état qu’il était avant que je l’installe

Pour ton mode son échec, as-tu essayé une restauration du système ?
Menu démarrer > tous les programmes > accessoires > outils système > Restauration du système
et demande lui de te restaurer à une date antérieur. Ensuite la démarche à suivre est simple.

saturne500 · Novembre 17, 2006, 8:25

lol Ca va alors, je n’aurai pas à te prodiguer mes conseils mdrrrr :lol:

Par contre, pr la restauration système, il ne me laisse pas le faire non plus … Il me met un message : “Restauration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancez Restauration du système” mais qd je fais ce qu’il me dit, ca ne va pas et ds le panneau de config + système + restauration système, la case pr la désactiver n’est pas cochée …

Torque_Roll · Novembre 17, 2006, 8:44

Desolé, je vois pas pour le moment.
J’ai vu dans ton rapport HijackThis que tu avais fais des scan online, as-tu réessayé d’en refaire dernièrement ? histoire de voir si tu n’as pas encore un autre virus.

Entre autre, je confirme, c’était bien le InternetGameBox qui est à l’origine de l’infection.

D’ailleurs j’ai trouvé ça, il ne faut jamais télécharger les gratuiciels suivants :
go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
InternetGameBox
sudoplanet
Webmediaplayer

saturne500 · Novembre 17, 2006, 10:26

Des scans on line ?? Pas ces jours ci pourtant

Qqun d’autre aurait-il des idées pr résoudre mon problème svp ?

Merciiiiii

looping27 · Novembre 17, 2006, 10:29

justement, tu devrais en refaire un ou 2