[ virus] infecter par le virus serwab [Résolu]

SmitFraudFix v2.138

Rapport fait à 15:39:44,85, 04/02/2007
Executé à partir de C:\Documents and Settings\Lolote\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lolote


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lolote\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Lolote\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

bonjour smitfraudfix n'as aucun effet sur cette infection donc supprime le et Télécharge Blacklight (de F-Secure)
https://europe.f-secure.com/blacklight/try.shtml
https://europe.f-secure.com/exclude/blacklight/index.shtml


et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

a+++

Bonjour,

tu peux supprimer Smitfraud fix, ce n'est pas le bon outil.

1) télécharge HijackThis:

http://pchelpbordeaux.free.fr/logiciels.html

Tutorial
http://pchelpbordeaux.free.fr/tuto.html

Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Fais un scan et poste l'analyse.

2) Tu télécharges AVG anti-spyware (gratuit même après la période d'essai) ici :

http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw

Tu enregistres le fichier dans un dossier.

A la fin du téléchargement, tu ouvres le dossier et tu doubles click sur avgas-setup-7.5.0.47.exe Tu suis les instructions.

Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.

Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour). Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces". Tu choisis aussi l'option "quarantaine" pour "comment réagir", 'définir l'action par défaut ...'
Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.
Aa fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.

3) => Fais un scan en ligne avec Internet explorer (merci !aur3n7=
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

4) Prenez connaissance du contenu de ce lien:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme Black Light qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
Maintenant faites un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip (de IL-MAFIOSO)
Enregistrez la cible (du lien) sous... et enregistrez-le sur votre bureau.
Faites un clic droit sur navilog1.zip et choisissez "tout extraire"
Ensuite double cliquer sur navilog1.bat
Laissez vous guider. Au menu principal, choisissez 1 et validez.
(Ne faites pas le choix 2 sans notre avis/accord)
Patientez jusqu'au message :
*** Analyse Termine le ..... ***
Appuyez sur une touche, comme demandé, le bloc note va s'ouvrir.
Copier/coller l'intégralité dans une réponse. Refermez le bloc note.
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

@+

Logfile of HijackThis v1.99.1
Scan saved at 16:00:47, on 04/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

Là, je suis en tain de faire l'analyse complète du système avec AVG anty spyware.
Je suis désolée mais apparemment ça prend du temps, dès que l'analyse est finie, je poste le rapport.

Je suis désolé salwa5 de ne pas avoir suivi tes conseils, en tout cas merci, et peut être à une autre fois

bonjour loly pas de probleme :) fait ce que lyonnais te demandes

bon courage

a++

KASPERSKY ON-LINE SCANNER REPORT
Monday, February 05, 2007 9:51:50 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 4/02/2007
Enregistrements dans la base antivirus Kaspersky : 264788
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 55420
Nombre de virus trouvés: 4
Nombre d'objets infectés: 8 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:12:35

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Application Data\ispnews\ispn.ini L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Application Data\ispnews\ispnc.items L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Application Data\ispnews\ispnr.items L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Application Data\Microsoft\Modèles\Normal.dot L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Application Data\Microsoft\Outlook\Outlook.srs L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Application Data\Microsoft\Outlook\archive.pst L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Historique\History.IE5\MSHist012007020420070205\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Temp\ErrorSafeScannerSetup.exe/Stream/data0001 Infecté : not-a-virus:Downloader.Win32.WinFixer.o ignoré
C:\Documents and Settings\Lolote\Local Settings\Temp\ErrorSafeScannerSetup.exe/Stream/data0012 Infecté : not-a-virus:Downloader.Win32.WinFixer.t ignoré
C:\Documents and Settings\Lolote\Local Settings\Temp\ErrorSafeScannerSetup.exe/Stream Infecté : not-a-virus:Downloader.Win32.WinFixer.t ignoré
C:\Documents and Settings\Lolote\Local Settings\Temp\ErrorSafeScannerSetup.exe Inno: infecté - 3 ignoré
C:\Documents and Settings\Lolote\Local Settings\Temp\Perflib_Perfdata_694.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Temp\~DFBF39.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Temp\~DFBF47.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Temp\~DFD448.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Lolote\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\chandir.dat L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\chandir.idx L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\chn.dat L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\chn.idx L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\D0000000.FCS L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\inuse.txt L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\L0000017.FCS L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\main.log L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs.dat L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs.idx L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs_die.dat L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs_die.idx L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs_dnd.dat L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs_dnd.idx L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs_ext.dat L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs_ext.idx L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs_rcv.dat L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\prs_rcv.idx L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\storydb.dat L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Users\Default\Data\storydb.idx L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\Common\admin.pub L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\Common\policy.bpf L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\Common\policy.ipf L'objet est verrouillé ignoré
C:\Program Files\Securitoo\Av_Fw\Spam Control\log\fs_sa_log.txt L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP117\A0014603.exe Infecté : not-a-virus:Porn-Dialer.Win32.InstantAccess.af ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP147\A0022002.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP147\A0022032.exe Infecté : not-a-virus:Downloader.Win32.WinFixer.o ignoré
C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP147\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\mwsrvacc.exe Infecté : not-a-virus:Porn-Dialer.Win32.InstantAccess.af ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.

Search Navipromo version 1.0.3 commencé le 05/02/2007 à 10:35:39,09

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Lolote\Bureau\PROBLEMES VIRUS\navilog1
Mise a jour le 01.02.2007 a 21h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Lolote\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

c:\WINDOWS\system32\jybhemtzdi.dat
C:\windows\system32\jybhemtzdi.exe
c:\WINDOWS\system32\jybhemtzdi_nav.dat
c:\WINDOWS\system32\jybhemtzdi_navps.dat


*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\system32\mwsrvacc.exe trouvé !


*** Recherche cles registre ***


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)



*** Analyse Terminé le 05/02/2007 à 10:41:55,13 ***

Bonjour,

est ce que tu trouves c:\fixnavi.txt ?

si oui, trouve un moyen de nous l'envoyer (ouvre le bloc notes directement puis le fichier, ou un autre éditeur de texte, word, wordpad, ..)

Je regarde les logs pendant ce temps.
@+

Re,

je vois que tu as résolu le problème du bloc-note.

Le log HijackThis est clean mais tu es infectée.

Ta restauration système est très infectée.

On va prendre un point plus propre.

Ouvre ce lien http://service1.symantec.com/...
et fais ce qui est demandé (désactiver puis réactiver).

Pourquoi je trouve Instant Accès dans la restauration et pas dans l'ordi ? tu as déjà été désinfectée ?

Je regarde le log Navifix pour te dire comment poursuivre avec cet outil.
@+

Re,

Redémarres en mode sans échec

[Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).]


Double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 2 et valides.
Laisses toi guider et réponds aux questions éventuelles
Ton bureau va disparaitre, c'est normal.
Patientes jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegardes le rapport de manière à le retrouver
Refermes le blocnote. Ton bureau va réapparaitre
Redémarres normalement et copies-colles l'intégralité dans une réponse.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau

@+

Je ne sais pas pourquoi tu trouves Instant Accès dans la restauration et pas dans l'ordi. En tout cas, je n'ai lancé aucun processus de désinfection.
J'ai suivi les instructions de "Comment désactiver ou activer la Restauration du système de Windows XP" sur le lien que tu m'as envoyé.
Je vais redémarrer en mode sans échec maintenant.

Re,

Je ne sais pas pourquoi tu trouves Instant Accès dans la restauration et pas dans l'ordi

Je sais, c'est parce que je ne sais pas lire. Il est dans le log de Kaspersky (sous ce nom) et dans celui den avifix (C:\WINDOWS\system32\mwsrvacc.exe ).

Normalement Navifix devrait le supprimer.
@+

Clean Navipromo version 1.0.3 commencé le 05/02/2007 à 12:39:37,04

Fix lancé depuis C:\Documents and Settings\Lolote\Bureau\PROBLEMES VIRUS\navilog1
Mise a jour le 01.02.2007 a 21h00 by IL-MAFIOSO

Executé en mode sans echec

Mode suppression automatique avec prise en charge résultats Blacklight

*** Creation backups fichiers scan Blbeta ***

Copie vers "C:\Documents and Settings\Lolote\Bureau\PROBLEMES VIRUS\navilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blbeta ***

c:\WINDOWS\system32\jybhemtzdi.dat supprimé !
C:\windows\system32\jybhemtzdi.exe supprimé !
c:\WINDOWS\system32\jybhemtzdi_nav.dat supprimé !
c:\WINDOWS\system32\jybhemtzdi_navps.dat supprimé !

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Lolote\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\system32\mwsrvacc.exe supprimé !

*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalisée avec succès !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)
Le fix ne traite pas ce résultat. Fichiers à supprimer si nécéssaire



*** Nettoyage termine le 05/02/2007 à 12:46:57,07 ***

Apparemment Instant Accès a été supprimé par Navifix à l'adresse suivante C:\WINDOWS\system32\mwsrvacc.exe

RE,

redémarre l'ordi.

Puis, démarrer, exécuter; regedit et OK.

Tu clique en haut sur édition puis rechercher.

Dans al fenêtre, tu écris Lanconfig, tu vérifies que clés, valeurs et données sont cochées.

Tu clique sur suivant et tu note le nom de la clé s'il en trouve une. Puis suivant, tant que tu en trouves. Tu notes le nom de chacune.

Tu fermes regedit.

Tu poste la liste.

Où en es tu de tes problèmes de pub ?
@+

Pour l'instant les pubs se sont arrêtées, apparemment je n'en reçois plus, et j'ai moins de problèmes pr accérder à ma messagerie Outlook

J'ai suivi tes instructions mais apparemment, il ne me trouve aucune clé quand je fais la recherche de lanconfig. Est-ce-que c'est normal?

J'avais aussi un probléme, je pense à cause de ce virus, et ce problème persiste.
Quand je lis un DVD, l'image et le son sont en sacadés. Ou quand j'essaie de graver un DVD, ça rame et c'est très long (ex:DVD, gravure 8x, temps de gravure et de vérification 2h30), d'ailleurs la souris, quand je la bouge, avance par sacade (quand j'éxécute une de ces tâches forcément).
Est ce que c 'est dû à ce virus? La carte Mère n'aurait-elle pas souffert?

Re,

C'est normal, pas de souci.

On aborde la dernière ligen droite.

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) .
P
our les 3 premiers mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilises pas tout de suite.


Antispywares et autres :

*Ad-Aware (gratuit)
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Tuto :
http://perso.orange.fr/entraide-hijackthis/AdAware/AdAware.htm

*Spybot (gratuit) :
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

* AVG AS

AVG anti spyware
http://www.01net.com/...
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
http://www.01net.com/...
Tuto :
http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiches tous les fichiers et dossiers :
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoches] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoches] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================
======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
->Lance AVG pour un scan complet "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
========================================
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
========================================
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
========================================
->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide tes quarantaines
Vide ta Corbeille.

========================================
->Redémarre en mode normal,

Relance la procédure de désactivation, réactivation de la restauration système.

relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes probs s’il t’en reste.

@+