Bonjour,
 
J'essaye de virer RMACGsRN.exe / NRsGCAMR.exe qui sont des exe qui se sont placé dans C:\PROGRA~1\tpsstxrt\
 
J'avoue ne pas savoir du tout ce que c'est (je ne remarque aucun effet bizarre sur ma machine) et je n'ai rien trouvé via google (en cherchant sur ces noms de fichiers) et mon antivirus (norton corp 9) ne les détecte pas comme virus.
 
Ca n'essaye pas non plus de communiquer via le net car mon firewall reste "calme"
 
J'ai beau tuer les process en mémoire , ca revient.
J'ai beau virer les clé dans la base de registre directement ou en m'aidant de hijackthis (log ci dessous) , ca revient tout de suite (dans la seconde).
Je peux pas effacer les fichier puisque utilisé
 
J'ai meme fait une disquette boot dos , avec dessus ntfsdos pour "monter mes partitions ntfs" (oui mes disques sont en ntfs) mais malheureusement , je n'ai accès qu'en lecture via cet utilitaire
 
 
Quelqu'un aurait-il une lumière ?
 
Un grand merci d'avance.
<snip>
Logfile of HijackThis v1.99.1
Scan saved at 18:58:41, on 28/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\iriver\iriver plus\iAgent.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\Program Files\Sony Handheld\USBSwt.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Trillian\trillian.exe
C:\Program Files\TuneUp Utilities 2004\Integrator.exe
C:\Program Files\TuneUp Utilities 2004\StartUpManager.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\UltraEdit\uedit32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\PROGRA~1\tpsstxrt\RMACGsRN.exe
C:\PROGRA~1\tpsstxrt\NRsGCAMR.exe
C:\utility\hi\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Band Class - {00027925-0017-4faf-9539-90E4AC0B9EC5} - C:\WINDOWS\eltt.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - (no file)
O2 - BHO: Browser - {046D6EA4-15E3-4b27-8010-45BD78A9219E} - C:\PROGRA~1\INTERN~2\inetkw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport\NTIEHelper.dll
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Program Files\PeDevice\PeDev.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [aAVJZA1x] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe
O4 - HKLM\..\Run: [fgpGXo1w] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe
O4 - HKLM\..\Run: [YEFJZ1Ux] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe
O4 - HKLM\..\Run: [dYpHYcUx] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe
O4 - HKLM\..\Run: [dUVHVsUx] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe
O4 - HKLM\..\Run: [aAFHVcEw] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [iPlusAgent] "C:\Program Files\iriver\iriver plus\iAgent.exe"
O4 - Startup: HotSync Manager.LNK = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O4 - Startup: SonyPDA USB Switcher.lnk = C:\Program Files\Sony Handheld\USBSwt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK = C:\WINDOWS\system32\mapiicon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\PCHEALTH\HELPCTR\System\blurbs\options.htm
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\PCHEALTH\HELPCTR\System\blurbs\options.htm
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\PCHEALTH\HELPCTR\System\blurbs\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\PCHEALTH\HELPCTR\System\blurbs\options.htm (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .ssc: C:\WINDOWS\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {660B74E4-4E01-43DE-BB13-2BA2D643C05A} (SmartStartCtl Class) - https://internetbanking.argenta.be/ [...] artCtl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63074250-EC65-4059-9FDB-30CFDCC37DD3}: NameServer = 195.238.2.21,212.68.193.32
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
</snip>
 
Un gros snickers virtuel à celui qui à une idée.  
  (j'ai regardé aussi sur le forum et je n'ai rien trouvé non plus)

salut
 
regarde et dis moi si ce fichier est présent dans ton pc:
 
c:\windows\system32\drivers\winik.sys  
 
a+

Oui . En effet  
 
en fesant une recherche sur google a son sujet je viens de tomber sur un post de toi à cette adresse : http://www.commentcamarche.net/for [...] -Winik-sys
 
avec ce petit fichier reg a faire :
 
REGEDIT4  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]  
 
 
Je fais ca ?

Va dans C:\PROGRAM FILES
puis dans le dossier tpsstxrt recherche le fichier profile.dat
ouvre le avec le bloc note et copie et colle le contenu ici
 
a+

Oups . J'éspère ne psas avoir gaffé entre temps j'ai fait le reg et reebooter ma machine (j'ai vu ton message juste avant de tenter de supprimer le winik.sys.
 
donc avant de tenter de tuer la bete voici le contenu du fichier dat.:
 
<snip>
 
H   \ P r o g r a m   F i l e s \ t p s s t x r t \ R M A C G s R N . d l l
H   \ P r o g r a m   F i l e s \ t p s s t x r t \ R M A C G s R N . e x e
H   \ P r o g r a m   F i l e s \ t p s s t x r t \ N R s G C A M R . e x e
@   \ P r o g r a m   F i l e s \ t p s s t x r t \ c n m l . e x e
F   \ P r o g r a m   F i l e s \ t p s s t x r t \ p r o f i l e . d a t
F   \ W I N D O W S \ S y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s    \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ a A V J Z A 1 x r   \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k j   \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k  
</snip>
 
en tout cas un grand merci de ton aide si rapide
 
ps: bon ben quand même , je metais dit au cas ou . J'ai tenté de le supprimer mais il veut pas encore. J'espere pas avoir trop gaffe avec le reg .Ach trop impatient :-)

En general il n'est pas très facile à virer...
 
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
ou en video ici:
http://pageperso.aol.fr/balltrap34/killbox.htm  
 
1- Double-clic sur KillBox.exe
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne Delete on Reboot
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur File, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI
 
liste:
 
C:\Program Files\tpsstxrt\RMACGsRN.dll
C:\Program Files\tpsstxrt\RMACGsRN.exe
C:\Program Files\tpsstxrt\NRsGCAMR.exe
C:\Program Files\tpsstxrt\cnml.exe
C:\Program Files\tpsstxrt\profile.dat
 
laisse le pc redemarrer et supprime C:\Program Files\tpsstxrt
 
lance hijackthis et supprime:
 
O4 - HKLM\..\Run: [aAVJZA1x] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe  
O4 - HKLM\..\Run: [fgpGXo1w] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe  
O4 - HKLM\..\Run: [YEFJZ1Ux] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe  
O4 - HKLM\..\Run: [dYpHYcUx] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe  
O4 - HKLM\..\Run: [dUVHVsUx] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe  
O4 - HKLM\..\Run: [aAFHVcEw] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe  
 
et reposte un hijack

Re bonjour Moe31,
 
Ach , j'ai peur que la chose ne soit tjr pas vaincue  
 
Pratique ce petit programme pour tuer les fichiers au démarrage .    
En tout cas moi qui aimais NAV corporate , ben décu .. il me dit rien , meme quand je lui dit d'analyser le fichier sys (et pourtant il est à jour )  
<snip>
Logfile of HijackThis v1.99.1
Scan saved at 21:30:04, on 28/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\iriver\iriver plus\iAgent.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\mapiicon.exe
C:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\Program Files\Sony Handheld\USBSwt.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\PeDevice\PeDev.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\UltraEdit\uedit32.exe
C:\utility\hi\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.shopnav.com/sides [...] id=1.20031
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.shopnav.com/sides [...] id=1.20031
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.shopnav.com/sides [...] id=1.20031
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.shopnav.com/sides [...] id=1.20031
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = websearch.shopnav.com/q.cgi?q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Band Class - {00027925-0017-4faf-9539-90E4AC0B9EC5} - C:\WINDOWS\eltt.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - (no file)
O2 - BHO: Browser - {046D6EA4-15E3-4b27-8010-45BD78A9219E} - C:\PROGRA~1\INTERN~2\inetkw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport\NTIEHelper.dll
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Program Files\PeDevice\PeDev.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [aAVJZA1x] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [iPlusAgent] "C:\Program Files\iriver\iriver plus\iAgent.exe"
O4 - Startup: HotSync Manager.LNK = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O4 - Startup: SonyPDA USB Switcher.lnk = C:\Program Files\Sony Handheld\USBSwt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK = C:\WINDOWS\system32\mapiicon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\PCHEALTH\HELPCTR\System\blurbs\options.htm
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\PCHEALTH\HELPCTR\System\blurbs\options.htm
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\PCHEALTH\HELPCTR\System\blurbs\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\WINDOWS\PCHEALTH\HELPCTR\System\blurbs\options.htm (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .ssc: C:\WINDOWS\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {660B74E4-4E01-43DE-BB13-2BA2D643C05A} (SmartStartCtl Class) - https://internetbanking.argenta.be/ [...] artCtl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63074250-EC65-4059-9FDB-30CFDCC37DD3}: NameServer = 195.238.2.21,212.68.193.32
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
 
</snip>
 
J'ai voulu aller supprimer le fichier sys en mode sans echec mais joie de la technologie (comme je regrette ma vieille souris ps2) ben ma belle souris sans fil usb en mode sans echec c'est niet   et de même pour le beau clavier sans fil    
 
La bete est tjr là . sniff
 
 
edit: Quoique .. la ligne est tjr là mais le répertoire ne contient plus que un fichier obj.dat (je tue ?   )
 
edit2: J'ai tué    (oui je sais trop impatient) . donc là faut encore combattre le fichier winik.sys . (il fera surement moins le malin sans ses petit frères   .  
Windows veux tjr pas que je le bute .  
 
Ya t'il moyen de dire a windows que ce fichier sys n'est plus à charger et n'est plus un fichier protégé pour le buter gentillement après ?
 
edit3:
 
En tout cas , vu déja touts les beau conseil donné , laisse moi déja te remercier en partie en ne te donnant pas 1 snickers mais 3 , oui la maison ne refuse rien  

lol    
 
pour winik, on va essayer de le virer via un prog  
http://get.yourfile.net/of73439.zip
dezippe le, mais ne t'en sert pas pour le moment
 
demarre en mode sans echec
 
supprime avec hijack:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.shopnav.com/sides [...] id=1.20031  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.shopnav.com/sides [...] id=1.20031  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.shopnav.com/sides [...] id=1.20031  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.shopnav.com/sides [...] id=1.20031  
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = websearch.shopnav.com/q.cgi?q=  
O2 - BHO: Band Class - {00027925-0017-4faf-9539-90E4AC0B9EC5} - C:\WINDOWS\eltt.dll  
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - (no file)  
O2 - BHO: Browser - {046D6EA4-15E3-4b27-8010-45BD78A9219E} - C:\PROGRA~1\INTERN~2\inetkw.dll  
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Program Files\PeDevice\PeDev.dll  
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)  
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)  
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)  
 
O4 - HKLM\..\Run: [aAVJZA1x] C:\PROGRA~1\tpsstxrt\RMACGsRN.exe  
 
recheche et supprime :
 
C:\WINDOWS\eltt.dll  
C:\Program Files\PeDevice
C:\Program Files\tpsstxrt  
C:\Program Files\internetkeyboard
 
lance le prog telechargé tout à l'heure
double clic sur winik.bat et sauvegarde le rapport
 
redemarre normallement et reposte un hijack+ le rapport du fix
dis moi si winik est toujours là
 
a+

Ach , j'ai essayé aussi avec le clavier et la souris USB du pc de ma chère et tendre mais rien à faire , en mode sans echec ma machine n'aime pas l'usb . Et donc j'arrive en mode sans échec , puis là , pouf je sais plus rien faire ...
 
donc je ne sais rien faire via mode sans echec
 
PAr contre depuis qu'on a commencé ce nettoyage mon firewall a effectivement détecté des tentative (que j'ai bloqué de connection) de pedev.exe . Alors j'ai viré tout le contenu du repertoire (apres avoir tue le process) sauf le pedev.dll que je n'arrive pas encore à virer.
 
J'ai supprimé les cle que tu mentionne avec hijack this
 
edit : apres reeboot , le pedev.dll et eltt.dll sont vaincu :-) .
Le tpsstxrt est bien vaincu , il ne revient pas .
Je n'ai pas trouvé de repertoire "internetkeyboard" mais bien "internetkeyword" , serais-ce celui là ?
 
A part ca , il ne reste donc plus que ce fichier winik.sys à virer (sans mode sans echec )
 
Un grand merci déja de tout ca :-)
 
ps: c'est dingue que j'ai chopé tout ca alors que sur ma machine  j'ai donc nav corp 9, zone alarm (sauf quand je joue a un mmorpg qui ne le supporte pas), spybot , ad watch SE pro ... Comme quoi , ca finis tjr par passer

essaye le prog pour winik, maintenant et poste le rapport
tant pis pour le mode sans echec, on essayera de s'en passer
 
edit
dsl c'est C:\program files\INTERNETKEYWORD qu'il fallait lire
 
a+

 
Je suppose que ca veut dire que c pas bon ..  
Bon , demain je bosse (toi aussi surement) . Je va donc dodo . Elle va pas s'enfuire la machine .... Ach si je pouvais betement le faire en mode sans echec .. (c vraiment bete)
 
Un tout grand merci déja pour tout le travail accomplis
 
edit : pas grave , avec déja toute ton aide tu es pardonné :-) Internetkeyword tué  (jaime ca   )

ok, on verra demain
je crois que le mode sans echec n'aurait pas changé grand chose.
on tentera avec killbox
 
a+

Bonjour Moe31,
 
Bonne nouvelle en ce jour .
 
J'ai utilisé ce super utilitaire qui est killbox (lui je me le sauve) pour tuer le fichier winik.sys et hop il l'a mangé tout cru    
 
J'ai utilisé ton .bat et le rapport dit que la mechante bébète est bien morte :-)
 
Au passage j'ai viré norton corp 9 et remplacé par nod 32 et j'ai ajouté en plus spywareblaster.
Après une nalayse et nettoyage (nod32 a encore trouvé des joyeuseté) de mon pc , j'en ai profité aussi pour vider tout mes points de restauration comme suit :
 
<snip>
1. On the Desktop, right-click My Computer.  
2. Click Properties.  
3. Click the System Restore tab.  
4. Check Turn off System Restore.  
5. Click Apply, and then click OK.  
6. Restart the computer.  
7. Follow steps 1 to 3 again, then uncheck Turn off System Restore tab.  
</snip>
 
..histoire de pas remettre en place de saloperie et puis j'ai recréé un point de restauration  comme suit :
 
<snip>
 
When you are sure you are clean create a restore point.  
 
To create a restore point:  
 
Single-click Start and point to All Programs.  
Mouse over Accessories, then System Tools, and select System Restore.  
In the System Restore wizard, select the box next the text labeled "Create a
restore point" and click the Next button.  
Type a description for your new restore point. Something like "After
trojan/spyware cleanup". Click Create and you're done.  
</snip>
 
Je parie que tu cnais tout ca mais je mets ca si ca peut aider qq d'autre . (oui c'est en anglais mais là ce soir j'ai la fleme de traduire   )
 
Encore un grand merci pour tout tes conseil Moe31 , tu as via ce post donné une technique qui marche .. Rhâ^^aaâ^ killbox vient ici que je te donne des bisouxxx    
 
Mon pc aussi te remercie , il se sent bcp mieux  

salut
 
Pour en etre vraiment sur, telecharge Registry Search Tool  
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
 
lance le et tape :
winik
 
poste le rapport
 
a+

argl.
 
REGEDIT4
; RegSrch.vbs © Bill James
 
; Registry search results for string "winik" 29/08/2005 20:15:43
 
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
 
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
 
[HKEY_USERS\S-1-5-21-796845957-1637723038-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="winik.sys"
 
[HKEY_USERS\S-1-5-21-796845957-1637723038-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Poste de travail\\HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet003\\Enum\\Root\\LEGACY_WINIK"
 
[HKEY_USERS\S-1-5-21-796845957-1637723038-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"e"="D:\\incoming\\virer\\Winik.zip"
 
[HKEY_USERS\S-1-5-21-796845957-1637723038-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\zip]
"a"="D:\\incoming\\virer\\Winik.zip"
 
"2"="C:\\Documents and Settings\\AztechXX\\Local Settings\\Temporary Internet Files\\Content.IE5\\PHIAD43F\\Winik[1].zip"
 
"2"="C:\\Documents and Settings\\AztechXX\\Local Settings\\Temporary Internet Files\\Content.IE5\\PHIAD43F\\Winik[1].zip"
"3"="D:\\incoming\\virer\\Winik.zip"
 
Les dernier c le fichier zip avec le truc bat dedasn.
 
Par contre les autres ... , je les vire a la main via regedit ?
 
edit : puis je virer toute le contenu + et les clés elles mêmes qui contiennent "LEGACY_WINIK" ?

je me doutais bien...
 
supprime juste ces 3, les autres sont inoffensives
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK  
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK  
 
il faudra suremment que tu change les autorisations (clic droit sur chaques LEGACY_WINIK > autorisations et controle total pour ton compte)
 
ensuite verifie si elles ont bien disparue avec RegSrch.vbs.
 
a+
 
 

Ca y est  :-)
 

 
Donc voila il reste rien de mechant. Enfin débarrassé de la chose . Bon j'éspère quelle reviendra plus .
 
Encore un super mega grand merci moe31        

impec
 
pour info, tu as pu supprimer les clés sans probleme ou est ce que tu as du changer les autorisations ?
 
a+

 
Oups désolé de ma réponse tardive.  
J'ai du changer les autorisation , donc ne pas utiliser "regedit.exe" mais "regedt32.exe" (je dis ca pour d'autre qui aurait ce type d'ennui)

C'est le même sous XP