Sujet Précédent Sujet Suivant

Virus,trojan,application presentant unrisque

Résolu/Fermé
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009 - 3 avril 2008 à 15:07
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009 - 7 mai 2008 à 14:32
Bonjour,

Sur mes deux ordi mon anti virus kaspersky 7(present sur les deux ordi) me signale des menaces mais n'arrive pas a toutes les resoudre.Sur l'ordi 1 j'ai aussi utilisé c cleaner,ad aware,avg anti spyware 7.5 mais ca n'a fait que supprimé quelque cookie ou autre.

Sur l'ordi 2 je n'ai utlisé en plus que c cleaner pareil que quelques cookie supprimé.

Ne connaissant rien au virus,trojan,application a risque je sollicite votre aide pour m'aider a resoudre ces problemes,procedure a suivre ect....

Precision pour ordi 1:

Des fois (rarement) quand je ferme l'ordi il me met un ecran bleu avec dessus "qu'il faut desinstaller programme ou materiel recent que si ca change rien apres desinstallation redemarrer en mode sans echec ect.." et redemarre normalement,puis je le ferme sans ouvrir de sessions et s'eteint sans probleme.

ordi 1

etat : non trouvé : cheval de troie Backdoor.win32.Delf.hmg objet : le fichier : D:\Mesfichiers recus\sspsetup1_.exe//file11

etat : decouvert : application presentant un risque potentiel Hidden data sending
objet : le processus:C:\Program Files\Java\jre1.6.0_03_bin\jucked.exe

etat : decouvert : application presentant un risque potentiel Invader
objet : le processus :C:\WINDOWS\System32\svchost.exe

pour ordi 1

C: correspond au disque dur principal
D: correspond au disque dur secondaire

Precision pour ordi 2 :

J'ai laissé les virus,trojan qu'il(kaspersky) a reussit a enlever car toute les menaces application a risque,virus et trojan on etait detecté en meme temps(le 2 avril vers 5 heures du mat).

De plus souvent lorsque je ferme une sessions puis l'ordi,a ce moment la,l'ordi ne s'eteint pas afffiche un ecran bleu avec marqué dessus "qu'il faut desinstaller programme ou materiel recent que si ca change rien apres desinstallation redemarrer en mode sans echec ect.." et redemarre normalement,puis je le ferme sans ouvrir de sessions et s'eteint sans probleme.

Ce cheval de troie : supprimé : cheval de Troie Trojan.Win32.DNSChanger.bsm Le fichier: C:\WINDOWS.2\system32\^^^^^.exe , a eté supprimé apres redemarrage de l'ordi mais pour les autres rien a faire pour l'instant meme avec mise a jour kaspersky et redemarrage de l'ordi.

ordi 2

etat : non trouvé : virus Virus.Win32.Small.f objet : Le fichier: G:\Autorun.inf

etat : supprimé : cheval de Troie Trojan.Win32.VB.atg objet : Le fichier: G:\tel.xls.exe

etat : supprimé : virus P2P-Worm.Win32.Kapucen.b objet : Le fichier: D:\eMule\Incoming\setup.exe

etat : découvert : application présentant un risque potentiel Hidden install objet : Le processus: C:\Documents and Settings\julien.ORDISALON\Local Settings\Temporary Internet Files\Content.IE5\CC3P9E5R\julienlastar_image05[1].com

etat : découvert : cheval de Troie Trojan-Downloader.Win32.Small.tnt

objet : URL:http://91.121.69.112/wv.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX

etat : supprimé : cheval de Troie Trojan.Win32.DNSChanger.bsm objet : Le fichier: C:\WINDOWS.2\system32\^^^^^.exe

découvert : application présentant un risque potentiel Hidden object objet : Le processus: C:\WINDOWS.2\system32\smss.exe

pour ordi 2

C: correspond au disque dur principal
D: correspond au disque dur secondaire
G: correspond au disque amovible(cle usb,port usb)


aute question mais pas ma priorité(mais si vous avez la solution c cool quand meme :) ):

comment se debarrasser du pourriel dans boite de messagerie msn pour que ca ne revienne plus ?

comment empecher une fenetre msn de s'afficher avec marqué dessus y a ta photo ici ou un autre truc et en faite si tu clique dessus ca fait rentrer des fichiers,menace pour l'ordi(enfin je crois)?

comment arreter fenetre intempestive?

Merci de votre aide.
A voir également:

38 réponses

  • 1
  • 2
Réponse 1 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
3 avril 2008 à 15:39
slt

on va commencer par l'ordi 2:




1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

3/
Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr pour faire evoluer msnfix

4/ lance ccleaner et vire bien les fichiers temporaires



5/
colle un rapport hijackthis


http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
0
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 15:47
ok c'est parti
0
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 15:51
j'ai oublié de le signalé mais sur ordi 2 j'ai cliqué sur le message msn "y a ta photo ici" et bien sur c'est le lendemain que les problemes on sont arrivés.Pour l'ordi 1 normalement cette boulette a pas eté faite mais peut etre qu'avec cle usb echangé un fichier de l'ordi 2 sur le 1 et que le fichier etait infecté par ce truc de msn(enfin je pense pas mais je precise en cas ou)
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040 > recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 15:55
oui j'ai vu d'où je te fais faire msn fix

tu peux aussi faire rav et flash disinfector sur le pc n°1
0
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 16:44
Pour: 1) rav rien pas d'infection detecté,pareil pour 2) flash

pour 3) msnfix :alors infection detecté le programme c'est mis en rouge et la j'ai voulu tapé majuscule n,comme y avait marqué tapé sur un touche et que j'ai zappé,j'ai donc tapé que majuscule.Apres j'ai relancé le programme pas d'infection et en redemarrant ordi il a quand meme generé un rapport(logique car la 1er fois infection) :

MSNFix 1.697-1

C:\Documents and Settings\julien.ORDISALON\Bureau\MSNFix
Fix exécuté le 03/04/2008 - 16:21:28,00 By julien
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé


************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2q7vgqn7.zip] 6FCD52965380D346C4B8E355F11BF3F2
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2sb552nk.zip] 14915D74130AB8B49E17678FF7916213
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\3a9ew8ox.zip] E21A8E80BDC9E806FEC358EFDA812F97
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\4154wwpt.zip] 53DB10C63CFA123A984D91BC3CE27688
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9exfo3u9.zip] 0745C9B980DFF3964B9B1D69D9488233
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9qygtirg.zip] E08CB8B78E27CC596D30EA940D524453
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ai67i6hs.zip] 775443A1A0276E9EB9537BD34FC6A874
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\felz9eej.zip] 33311104063D5C085B9CA807E2503844
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\fso3cxtg.zip] 6B07EF868F6CC7B351E5C01722BFD4F0
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iffc7i8z.zip] 57E65FE6DFA3E2CE7858D1144F5841D7
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iw5vxvgd.zip] CC1DB58FEDBBCBCD68571682C3FC7C32
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\jvickzn3.zip] C7BC9C03419226A8EBAB8C4FB55EA5EC
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\n52u2r6y.zip] A956D83DA227C6B0334552424BE8484B
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\nd3p8bu2.zip] 91AC4543141114CDAE80D8D8805629E8
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ou4wku34.zip] A425FE0607FEE0DB0281DB4EBCD2465A
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\u8n34cks.zip] 714D48D21564D4371EEBF84834FDA956
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\x3s3cwqz.zip] 43E407E6C781F28C05782E85B5239985
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\xg2urnd3.zip] 37097BBB57D76892B72A2738E32004B9

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier [b] C:\DOCUME~1\JULIEN~1.ORD\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr



************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS.2\system32\userinit.exe,


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Aucun Fichier trouvé



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2q7vgqn7.zip] 6FCD52965380D346C4B8E355F11BF3F2
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2sb552nk.zip] 14915D74130AB8B49E17678FF7916213
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\3a9ew8ox.zip] E21A8E80BDC9E806FEC358EFDA812F97
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\4154wwpt.zip] 53DB10C63CFA123A984D91BC3CE27688
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9exfo3u9.zip] 0745C9B980DFF3964B9B1D69D9488233
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9qygtirg.zip] E08CB8B78E27CC596D30EA940D524453
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ai67i6hs.zip] 775443A1A0276E9EB9537BD34FC6A874
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\felz9eej.zip] 33311104063D5C085B9CA807E2503844
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\fso3cxtg.zip] 6B07EF868F6CC7B351E5C01722BFD4F0
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iffc7i8z.zip] 57E65FE6DFA3E2CE7858D1144F5841D7
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iw5vxvgd.zip] CC1DB58FEDBBCBCD68571682C3FC7C32
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\jvickzn3.zip] C7BC9C03419226A8EBAB8C4FB55EA5EC
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\n52u2r6y.zip] A956D83DA227C6B0334552424BE8484B
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\nd3p8bu2.zip] 91AC4543141114CDAE80D8D8805629E8
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ou4wku34.zip] A425FE0607FEE0DB0281DB4EBCD2465A
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\u8n34cks.zip] 714D48D21564D4371EEBF84834FDA956
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\x3s3cwqz.zip] 43E407E6C781F28C05782E85B5239985
[C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\xg2urnd3.zip] 37097BBB57D76892B72A2738E32004B9

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier [b] C:\DOCUME~1\JULIEN~1.ORD\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 03042008_16295592.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS.2\system32\userinit.exe,


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

je continue le 4 et 5 ou j'attends ton analyse ou commentaire ?
0
Réponse 2 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
3 avril 2008 à 18:14
fais tout





ensuite analyse sur virus total ces fichier et dis si inféctés: https://www.virustotal.com/gui/


C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2q7vgqn7.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2sb552nk.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\3a9ew8ox.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\4154wwpt.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9exfo3u9.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9qygtirg.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ai67i6hs.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\felz9eej.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\fso3cxtg.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iffc7i8z.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iw5vxvgd.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\jvickzn3.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\n52u2r6y.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\nd3p8bu2.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ou4wku34.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\u8n34cks.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\x3s3cwqz.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\xg2urnd3.zip
0
Réponse 3 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 18:58
rapport hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:10, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS.2\System32\smss.exe
C:\WINDOWS.2\system32\winlogon.exe
C:\WINDOWS.2\system32\services.exe
C:\WINDOWS.2\system32\lsass.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\system32\svchost.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\spoolsv.exe
C:\WINDOWS.2\system32\acs.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\Explorer.EXE
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\OLITEC\ACU.exe
C:\WINDOWS.2\Mixer.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows.2\system32\nnbofnupyy.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\wscntfy.exe
C:\Documents and Settings\julien.ORDISALON\Bureau\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: torrent_search - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtor0.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: torrent_search - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtor0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [nnbofnupyy] c:\windows.2\system32\nnbofnupyy.exe nnbofnupyy
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.2\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/ImageUploader4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CADA676-68D5-4AD8-B3E7-594A05273934}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF88F790-0B37-41C0-9DC4-D60FA055441E}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CADA676-68D5-4AD8-B3E7-594A05273934}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.216
O23 - Service: Service de configuration OLITEC (ACS) - Unknown owner - C:\WINDOWS.2\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.2\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.2\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
0
Réponse 4 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
3 avril 2008 à 19:55
ok effectivement il en reste tu es meme détourné en ukraine quand tu surf....

__________

desinstalle via ton panneau de configuration

torrent_search souvent associé a des espions
_____________



Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: torrent_search - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtor0.dll

O3 - Toolbar: torrent_search - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtor0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nnbofnupyy] c:\windows.2\system32\nnbofnupyy.exe nnbofnupyy

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CADA676-68D5-4AD8-B3E7-594A05273934}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF88F790-0B37-41C0-9DC4-D60FA055441E}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CADA676-68D5-4AD8-B3E7-594A05273934}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.216

_______________________



* Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.
_______________________


télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :
c:\windows.2\system32\nnbofnupyy.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_______________________
vire ce qui est dans moved files en allant dans poste de travail puis c puis otmovit
_______________________

scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

_______________________

colle ensuite un rapport avec kaspersky que tu as et dis tes soucis actuels et colle aussi un nouvel hijackthis
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 19:58
analyse des fichiers avec virus total,tous infectés apparament et detecté par un seul anti virus le meme a chaque fois :


C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2q7vgqn7.zip :

Antivirus Version Dernière mise à jour Résultat

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2sb552nk.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\3a9ew8ox.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\4154wwpt.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9exfo3u9.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9qygtirg.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ai67i6hs.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\felz9eej.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\fso3cxtg.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iffc7i8z.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iw5vxvgd.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\jvickzn3.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\n52u2r6y.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\nd3p8bu2.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ou4wku34.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\u8n34cks.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\x3s3cwqz.zip :

NOD32v2 2999 2008.04.03 archive damaged

C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\xg2urnd3.zip :

NOD32v2 2999 2008.04.03 archive damaged
0
Réponse 6 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
3 avril 2008 à 20:29
ok



mets les fichiers dans otmovit:


télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2q7vgqn7.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\2sb552nk.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\3a9ew8ox.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\4154wwpt.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9exfo3u9.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\9qygtirg.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ai67i6hs.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\felz9eej.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\fso3cxtg.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iffc7i8z.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\iw5vxvgd.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\jvickzn3.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\n52u2r6y.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\nd3p8bu2.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\ou4wku34.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\u8n34cks.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\x3s3cwqz.zip
C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\xg2urnd3.zip


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.






puis fais ce que j'avais indiqué:



_____________
ok effectivement il en reste tu es meme détourné en ukraine quand tu surf....

__________

desinstalle via ton panneau de configuration

torrent_search souvent associé a des espions
_____________



Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp

O2 - BHO: torrent_search - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtor0.dll

O3 - Toolbar: torrent_search - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtor0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nnbofnupyy] c:\windows.2\system32\nnbofnupyy.exe nnbofnupyy

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CADA676-68D5-4AD8-B3E7-594A05273934}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF88F790-0B37-41C0-9DC4-D60FA055441E}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CADA676-68D5-4AD8-B3E7-594A05273934}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.216

_______________________



* Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.
_______________________


télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :
c:\windows.2\system32\nnbofnupyy.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_______________________
vire ce qui est dans moved files en allant dans poste de travail puis c puis otmovit
_______________________

scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

_______________________

colle ensuite un rapport avec kaspersky que tu as et dis tes soucis actuels et colle aussi un nouvel hijackthis
0
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 22:33
apres desinstallation torrent_search ces deux lignes n'etaient plus presente dans hijckthis:

O2 - BHO: torrent_search - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtor0.dll

O3 - Toolbar: torrent_search - {f14b0ccd-aa41-4406-ab68-c5de9d85b4a3} - C:\Program Files\torrent_search\tbtor0.dll



rapport fixwareout:


Username "julien" - 03/04/2008 22:10:40 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{BE351B70-CD39-4C7A-BBDD-E825EFD9CA00}
"DhcpNameServer"="85.255.113.141,85.255.112.216" <Value cleared.

Cache de résolution DNS vidé.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="C:\\Program Files\\VIAudioi\\SBADeck\\ADeck.exe 1"
"ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"
"ACU"="\"C:\\Program Files\\OLITEC\\ACU.exe\" -nogui"
"MoneyStartUp10.0"="\"C:\\Program Files\\Microsoft Money\\System\\Activation.exe\""
"C-Media Mixer"="Mixer.exe /startup"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"NBKeyScan"="\"C:\\Program Files\\Nero\\Nero8\\Nero BackItUp\\NBKeyScan.exe\""
"AVP"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVAgent WiFi"="C:\\Program Files\\Alice_Triway_WiFi\\Wizard\\Agent_WiFi.exe"
"ctfmon.exe"="C:\\WINDOWS.2\\system32\\ctfmon.exe"
"Microsoft Works Update Detection"="C:\\Program Files\\Microsoft Works\\WkDetect.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Fichiers communs\\Nero\\Lib\\NMIndexStoreSvr.exe\" ASO-616B5711-6DAE-4795-A05F-39A1E5104020"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~



nouveau rapport hijackthis :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:23:28, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS.2\System32\smss.exe
C:\WINDOWS.2\system32\winlogon.exe
C:\WINDOWS.2\system32\services.exe
C:\WINDOWS.2\system32\lsass.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\system32\svchost.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\spoolsv.exe
C:\WINDOWS.2\system32\acs.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\Explorer.EXE
C:\WINDOWS.2\system32\wscntfy.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\OLITEC\ACU.exe
C:\WINDOWS.2\Mixer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS.2\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\julien.ORDISALON\Bureau\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.2\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/ImageUploader4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Service de configuration OLITEC (ACS) - Unknown owner - C:\WINDOWS.2\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.2\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.2\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
0
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 22:40
rapport situé dans C:\_OTMoveIt\MovedFiles :

c:\windows.2\system32\nnbofnupyy.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04032008_223727
0
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
4 avril 2008 à 07:41
rapport malwarebytes :

Malwarebytes' Anti-Malware 1.10
Version de la base de données: 587

Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 205421
Temps écoulé: 4 hour(s), 7 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\julien.ORDISALON\Application Data\Microsoft\CryptnetUrlCache\Content\2BF68F4714092295550497DD56F57004 (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\julien.ORDISALON\Application Data\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015 (Trojan.Downloader) -> No action taken.
C:\WINDOWS.2\system32\nnbofnupyy_navps.dat (Adware.EGDAccess) -> No action taken.
C:\WINDOWS.2\system32\nnbofnupyy_nav.dat (Adware.EGDAccess) -> No action taken.
C:\WINDOWS.2\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.





les 5 objets ont eté mis en quarantaine a pres avoir apppuié sur supprimer une fois l'analyse terminé et l'affichage des 5 elements infectés.Je fais supprimer dans la quarantaine ou je touche a rien et fait kaspersky puis hijackyhis ?
0
Réponse 7 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 21:01
question je ne suis pas sur mon ordi 2 c'est une autre personne qui est dessus et bien sur il va sur internet et msn.

Je n'ai pas encore fait les dernier conseils que tu m'as recommandé,est ce que je devrais refaire certain truc apres son passage?

Et normalement c'est mieu de ne pas aller sur trop de page internet ou avoir trop d'application ouverte quand on a des virus ect.. car facilite propagation dans d'autre fichier?

Donc question finale si je reinialise tout est ce que ca supprimerait les virus trojan ect... (puisque cette personne ne m'ecoute pas si tu me dis qu'il ne faut pas allé sur msn ou page internet ect...le mininum d'application,fenetre ouverte quand on traite un virus, et que si je reinitialise ca les enlevent(virus ect..)pour cette fois je lui dis rien mais la prochaine fois qui me fait le coup je degage tout.
0
Réponse 8 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
3 avril 2008 à 21:02
autre question tu es present jusqu'a quel heure sur le site? car je me doute bien que tu n'es pas tout le temps la et que tu as d'autres occupations.
0
Réponse 9 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 avril 2008 à 09:34
vire ce qui est dans moved file en allant dans poste de travail puis c puis otmovit

C:\_OTMoveIt\MovedFiles

____________

ok mainetenant vous pouvez aller sur internet (miais bien sur ne rien acheter par carte bleu...) . on va finir la desinfection (le principal etait de ne pas etre détourné en ukraine)


_____________



Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

_____________


Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0
Réponse 10 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
4 avril 2008 à 13:12
sur l'ordi 2 j'en suis a kapersky puis hijacktis et apres je ferais la reponse 16

sur l'ordi 1 j'ai fais rav et flash dans les deux cas aucune infection detecté quel est la suite a executer?
0
Réponse 11 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 avril 2008 à 13:14
on finit le 2 et on verra le 1 apres avec un hijackthis
0
Réponse 12 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
4 avril 2008 à 18:21
rapport kaspersky cet etrange apres analyse complete de l'ordi il ne m'est rien de detecté,dans rapport au demarage non plus cependant dans etat de la protection de votre ordinatuer il garde decouvert 7 et affiche toujours ca :

non trouvé : virus Virus.Win32.Small.f Le fichier: G:\Autorun.inf

supprimé : cheval de Troie Trojan.Win32.VB.atg Le fichier: G:\tel.xls.exe

supprimé : virus P2P-Worm.Win32.Kapucen.b Le fichier: D:\eMule\Incoming\setup.exe

découvert : application présentant un risque potentiel Hidden install Le processus: C:\Documents and Settings\julien.ORDISALON\Local Settings\Temporary Internet Files\Content.IE5\CC3P9E5R\julienlastar_image05[1].com

découvert : cheval de Troie Trojan-Downloader.Win32.Small.tnt URL: http://91.121.69.112/wv.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX

supprimé : cheval de Troie Trojan.Win32.DNSChanger.bsm Le fichier: C:\WINDOWS.2\system32\^^^^^.exe

découvert : application présentant un risque potentiel Hidden object Le processus: C:\WINDOWS.2\system32\smss.exe

toujours pareil quand j'enleve afficher les objets reparés il enleve tout(y a aussi marqué en haut tout les objet sdangereux ont eté neutralisés) comme s'il avait tout reparé alors que l'on voit qu'il reste cheval de troie,virus dans ce que j'ai posté au dessus.

nouveau rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:25, on 04/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS.2\System32\smss.exe
C:\WINDOWS.2\system32\winlogon.exe
C:\WINDOWS.2\system32\services.exe
C:\WINDOWS.2\system32\lsass.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\system32\svchost.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\spoolsv.exe
C:\WINDOWS.2\system32\acs.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\Explorer.EXE
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\OLITEC\ACU.exe
C:\WINDOWS.2\Mixer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS.2\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\wuauclt.exe
C:\Documents and Settings\julien.ORDISALON\Bureau\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.2\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/ImageUploader4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Service de configuration OLITEC (ACS) - Unknown owner - C:\WINDOWS.2\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.2\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.2\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
0
Réponse 13 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
4 avril 2008 à 18:46
rapport combofix:

ComboFix 08-04-03.5 - julien 2008-04-04 18:32:55.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.606 [GMT 2:00]
Endroit: C:\Documents and Settings\julien.ORDISALON\Bureau\killbagle.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS.2\pack.epk

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-04 to 2008-04-04 ))))))))))))))))))))))))))))))))))))
.

2008-04-03 22:49 . 2008-04-03 22:49 <REP> d-------- C:\Documents and Settings\julien.ORDISALON\Application Data\Malwarebytes
2008-04-03 22:48 . 2008-04-03 22:48 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-03 22:48 . 2008-04-03 22:48 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS.2\Application Data\Malwarebytes
2008-04-03 22:37 . 2008-04-03 22:37 <REP> d-------- C:\_OTMoveIt
2008-04-03 22:09 . 2008-04-03 22:20 <REP> d-------- C:\fixwareout
2008-04-03 21:27 . 2008-04-03 21:27 62,824 --a------ C:\Documents and Settings\julien.ORDISALON\Application Data\GDIPFONTCACHEV1.DAT
2008-04-03 16:06 . 2008-04-03 16:06 <REP> d-------- C:\autorun.MSNFix
2008-04-02 21:09 . 2008-04-02 21:09 <REP> d-------- C:\Documents and Settings\julien.ORDISALON\Application Data\ABBYY
2008-04-02 05:12 . 2008-04-02 05:12 244 --ah----- C:\sqmnoopt06.sqm
2008-04-02 05:12 . 2008-04-02 05:12 232 --ah----- C:\sqmdata05.sqm
2008-04-02 05:12 . 2008-04-02 05:12 172 --ah----- C:\sqmnoopt07.sqm
2008-04-02 05:12 . 2008-04-02 05:12 172 --ah----- C:\sqmdata06.sqm
2008-03-22 20:33 . 2008-03-29 18:40 54,156 --ah----- C:\WINDOWS.2\QTFont.qfn
2008-03-22 20:33 . 2008-03-22 20:33 1,409 --a------ C:\WINDOWS.2\QTFont.for
2008-03-19 03:40 . 2008-03-19 03:40 268 --ah----- C:\sqmdata04.sqm
2008-03-19 03:40 . 2008-03-19 03:40 244 --ah----- C:\sqmnoopt05.sqm
2008-03-08 21:58 . 2008-04-03 22:00 5,002 --a------ C:\WINDOWS.2\system32\nnbofnupyy.dat
2008-03-05 13:32 . 2008-03-05 13:32 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 16:37 3,787,040 --sha-w C:\WINDOWS.2\system32\drivers\fidbox2.dat
2008-04-04 16:04 --------- d-----w C:\Documents and Settings\All Users.WINDOWS.2\Application Data\Kaspersky Lab
2008-04-04 16:02 359,048 --sha-w C:\WINDOWS.2\system32\drivers\fidbox2.idx
2008-04-04 16:02 219,985,952 --sha-w C:\WINDOWS.2\system32\drivers\fidbox.dat
2008-04-04 16:02 2,951,348 --sha-w C:\WINDOWS.2\system32\drivers\fidbox.idx
2008-04-03 19:00 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-04-03 18:09 --------- d-----w C:\Program Files\torrent_search
2008-04-03 15:18 --------- d-----w C:\Program Files\AVSMedia
2008-03-21 11:45 --------- d-----w C:\Program Files\DivX
2008-03-05 11:31 --------- d-----w C:\Documents and Settings\All Users.WINDOWS.2\Application Data\WLInstaller
2008-03-01 22:17 --------- d-----w C:\Program Files\Fichiers communs\Nero
2008-03-01 22:17 --------- d-----w C:\Documents and Settings\All Users.WINDOWS.2\Application Data\Nero
2008-03-01 16:49 --------- d-----w C:\Documents and Settings\julien.ORDISALON\Application Data\Nero
2008-03-01 12:13 --------- d-----w C:\Documents and Settings\julien.ORDISALON\Application Data\Apple Computer
2008-02-29 21:20 --------- d-----w C:\Documents and Settings\All Users.WINDOWS.2\Application Data\AVS4YOU
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS.2\system32\DivXsm.exe
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS.2\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS.2\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS.2\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS.2\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS.2\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS.2\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS.2\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS.2\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS.2\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS.2\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS.2\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS.2\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS.2\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS.2\system32\dpu10.dll
2008-02-21 02:04 196,608 ----a-w C:\WINDOWS.2\system32\dtu100.dll
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS.2\system32\DivXCodecVersionChecker.exe
2008-02-21 02:03 12,288 ----a-w C:\WINDOWS.2\system32\DivXWMPExtType.dll
2008-02-16 14:44 --------- d-----w C:\Program Files\Fichiers communs\AVSMedia
2008-02-08 20:46 --------- d-----w C:\Program Files\Fichiers communs\xing shared
2008-02-08 20:45 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-02-08 20:44 --------- d-----w C:\Program Files\Google
2008-02-08 20:43 499,712 ----a-w C:\WINDOWS.2\system32\msvcp71.dll
2008-02-08 20:43 348,160 ----a-w C:\WINDOWS.2\system32\msvcr71.dll
2008-02-08 20:43 --------- d-----w C:\Program Files\Real
2007-11-11 17:06 61,528 ----a-w C:\Documents and Settings\sebastion\Application Data\GDIPFONTCACHEV1.DAT
2004-10-05 09:59 1,619 -c--a-w C:\Program Files\INSTALL.LOG
2004-05-16 20:22 32,456 -c--a-w C:\Documents and Settings\SEBASTIEN\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVAgent WiFi"="C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe" [ ]
"ctfmon.exe"="C:\WINDOWS.2\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"Microsoft Works Update Detection"="C:\Program Files\Microsoft Works\WkDetect.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-11 13:30 68856]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="C:\Program Files\VIAudioi\SBADeck\ADeck.exe" [2006-07-26 08:19 540672]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 22:05 344064]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-06-29 02:09 32768]
"ACU"="C:\Program Files\OLITEC\ACU.exe" [2005-12-26 18:53 307200]
"MoneyStartUp10.0"="C:\Program Files\Microsoft Money\System\Activation.exe" [2001-07-25 11:00 245810]
"C-Media Mixer"="Mixer.exe" [2001-11-15 20:08 1216512 C:\WINDOWS.2\mixer.exe]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-02-08 22:43 185896]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 01:43 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS.2\System32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.WMV3"= wmv9vcm.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS.2^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users.WINDOWS.2\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS.2\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS.2^Menu Démarrer^Programmes^Démarrage^Rappels du Calendrier Microsoft Works.lnk]
path=C:\Documents and Settings\All Users.WINDOWS.2\Menu Démarrer\Programmes\Démarrage\Rappels du Calendrier Microsoft Works.lnk
backup=C:\WINDOWS.2\pss\Rappels du Calendrier Microsoft Works.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACDSee OLR]
--a--c--- 2003-07-23 15:25 49152 C:\PROGRA~1\BVRPSO~1\ACDSee\BVRPOlr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Portfolio]
--a--c--- 2001-10-05 16:53 331830 C:\Program Files\Microsoft Works\WksSb.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
--a--c--- 2001-10-05 16:51 28738 C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS.2\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-24 09:27 155648 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVAgent WiFi]
C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]
--a--c--- 2001-10-09 13:28 24576 C:\Program Files\Microsoft Works\wkfud.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule\\emule.exe"=
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 videX32;videX32;C:\WINDOWS.2\system32\DRIVERS\videX32.sys [2006-02-23 05:38]
R2 TICalc;TICalc;C:\WINDOWS.2\system32\drivers\TICalc.sys [2000-02-22 16:46]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS.2\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS.2\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 AR5523;OLITEC USB Wireless Network Adapter Service;C:\WINDOWS.2\system32\DRIVERS\ar5523.sys [2005-07-27 22:11]
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;C:\WINDOWS.2\system32\DRIVERS\sis163u.sys [2004-09-16 18:00]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS.2\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d4fdca6-0169-11dd-83a9-000a789d394d}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 18:37:56
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1??????w????F:\Sound\VIA?.?w???w?????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-04 18:42:53
ComboFix-quarantined-files.txt 2008-04-04 16:42:50
Pre-Run: 4,539,035,648 octets libres
Post-Run: 4,530,044,928 octets libres
.
2008-04-03 21:05:15 --- E O F ---


je fais il mafioso et poste le rapport
0
Réponse 14 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
4 avril 2008 à 19:19
rapport navilog(quand je fais la recherche au moment de la creation du rapport kaspersky me dis suspection driver intallation c:\program files\navilog1\catchme.exe et une autre fois apres application presentant un risque potentiel(pid:4032) invader c:\program files\navilog\catchme.exe j'ai interdit acces de ces deux trucs mais j'en ai autoriser un avant dans le meme genre qu'est ce que je devait faire les bloqué interdire ou autoriser?

Search Navipromo version 3.5.2 commencé le 04/04/2008 à 18:48:57,64

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "julien"

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS.2 ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.2\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\julien.ORDISALON\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\julien.ORDISALON\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\julien.ORDISALON\menudm~1\progra~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.2\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS.2\system32 *

* Recherche dans "C:\Documents and Settings\julien.ORDISALON\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1.ORD\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\petit\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\SEBAST~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\SEBAST~2\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS.2\system32 :

nnbofnupyy.dat trouvé !

* Dans "C:\Documents and Settings\julien.ORDISALON\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1.ORD\locals~1\applic~1" :


* Dans "C:\DOCUME~1\petit\locals~1\applic~1" :


* Dans "C:\DOCUME~1\SEBAST~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\SEBAST~2\locals~1\applic~1" :


* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 04/04/2008 à 19:08:52,82 ***
0
Réponse 15 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
4 avril 2008 à 19:39
voila exactement ce que dit kapersky et ce que j'ai fais:

04/04/2008 18:49:06 C:\Program Files\Navilog1\catchme.exe Processus attaqué : C:\Program Files\Navilog1\catchme.exe Identifiant du processus (PID): 212 Tentative d'intrusion dans le processus : C:\WINDOWS.2\explorer.exe Identifiant du processus (PID): 1388

04/04/2008 18:49:06 C:\Program Files\Navilog1\catchme.exe Action autorisée.

04/04/2008 19:05:35 C:\Program Files\Navilog1\catchme.exe Le processus tente d'obtenir un accès total au système par le biais de l'installation d'un pilote. L'enregistrement des valeurs de la base de registre système s'opère depuis le fichier \??\C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\catchme.sys.

04/04/2008 19:05:35 C:\Program Files\Navilog1\catchme.exe Action interdite.

04/04/2008 19:07:04 C:\Program Files\Navilog1\catchme.exe Processus attaqué : C:\Program Files\Navilog1\catchme.exe Identifiant du processus (PID): 4032 Tentative d'intrusion dans le processus : C:\WINDOWS.2\explorer.exe Identifiant du processus (PID): 1388

04/04/2008 19:07:04 C:\Program Files\Navilog1\catchme.exe Action interdite.

04/04/2008 19:12:21 C:\Program Files\Navilog1\catchme.exe Processus attaqué : C:\Program Files\Navilog1\catchme.exe Identifiant du processus (PID): 1788 Tentative d'intrusion dans le processus : C:\WINDOWS.2\explorer.exe Identifiant du processus (PID): 1388

04/04/2008 19:12:21 C:\Program Files\Navilog1\catchme.exe Action interdite.

04/04/2008 19:28:39 C:\Program Files\Navilog1\catchme.exe Le processus tente d'obtenir un accès total au système par le biais de l'installation d'un pilote. L'enregistrement des valeurs de la base de registre système s'opère depuis le fichier \??\C:\DOCUME~1\JULIEN~1.ORD\LOCALS~1\Temp\catchme.sys.

04/04/2008 19:28:39 C:\Program Files\Navilog1\catchme.exe Action interdite.

04/04/2008 19:29:23 C:\Program Files\Navilog1\catchme.exe Processus attaqué : C:\Program Files\Navilog1\catchme.exe Identifiant du processus (PID): 2544 Tentative d'intrusion dans le processus : C:\WINDOWS.2\explorer.exe Identifiant du processus (PID): 1388

04/04/2008 19:29:23 C:\Program Files\Navilog1\catchme.exe Action interdite.


Kaspersky a rajouté dans protections de mon ordinateur decouvert 8(avant 7) :

découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Navilog1\catchme.exe


que dois je faire ?

merci
0
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
4 avril 2008 à 19:52
en mode sans echec ou autre,manipulation faite comme administrateur ou pas une importance?
0
Réponse 16 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 avril 2008 à 20:15
ok

desactive kasperky le temps de finir la desinfection avec navilog, ensuite tu pourra le desinstaller via ton panneau de configuration

______________




= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= colle le contenu du rapport de navilog (qui est en option2)


PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.


___________________


Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe >
→ Enregistre-le sur ton bureau
→ Lancer 'OAD.exe' en faisant un double clique sur le fichier
→ Saisir la valeur recherchée -> ' ^^^^^.exe ' ( fait un copier/coller )
→ Type de recherche : sélectionner l'option 6 puis valide [entrée]
→ OAD va maintenant rechercher le fichier.
→ Laisse-le travailler jusqu'à ce qu'il en ait terminé.
→ Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

→ Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
→ Faire un copier/coller de ce rapport dans ton prochain post.


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore



_____________________
recolle un nouvel hijackhtis et dis tes soucis actuels
0
Réponse 17 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
6 avril 2008 à 23:06
rapport navilog apres option 2:

Clean Navipromo version 3.5.2 commencé le 06/04/2008 à 22:24:51,15

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "julien"

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS.2\System32 *


* Suppression dans "C:\Documents and Settings\julien.ORDISALON\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1.ORD\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\petit\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\SEBAST~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\SEBAST~2\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *



*** Suppression dossiers dans C:\WINDOWS.2 ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.2\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\julien.ORDISALON\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\julien.ORDISALON\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\julien.ORDISALON\menudm~1\progra~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.2\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS.2\Temp effectué !
Nettoyage contenu C:\Documents and Settings\julien.ORDISALON\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS.2\system32 *

nnbofnupyy.dat trouvé !
Copie nnbofnupyy.dat réalisée avec succès !
nnbofnupyy.dat supprimé !


* Dans "C:\Documents and Settings\julien.ORDISALON\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1.ORD\locals~1\applic~1" *


* Dans "C:\DOCUME~1\petit\locals~1\applic~1" *


* Dans "C:\DOCUME~1\SEBAST~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\SEBAST~2\locals~1\applic~1" *


* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 06/04/2008 à 22:30:34,70 **


rapport oad :

06/04/2008 ---- 22:49:25,89

----------------------------------
§§§§§§ [^^.exe] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


nouveau rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:56, on 06/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS.2\System32\smss.exe
C:\WINDOWS.2\system32\winlogon.exe
C:\WINDOWS.2\system32\services.exe
C:\WINDOWS.2\system32\lsass.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\system32\svchost.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\spoolsv.exe
C:\WINDOWS.2\system32\acs.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\Explorer.EXE
C:\WINDOWS.2\system32\wscntfy.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\OLITEC\ACU.exe
C:\WINDOWS.2\Mixer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS.2\System32\svchost.exe
C:\Documents and Settings\julien.ORDISALON\Bureau\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.2\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/ImageUploader4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Service de configuration OLITEC (ACS) - Unknown owner - C:\WINDOWS.2\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.2\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.2\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
0
Réponse 18 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
7 avril 2008 à 09:17
ok le rapport est
bon tu peux utiliser tools cleaner pour nettoyer ce que je t'ai fais mettre:

http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner


___________________

installe spybot sans activer le tea timer en complement de kaspersky pour etre mieux protégé des espions

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

_____________________

si plus de soucis sur ce pc on passe a l'autre! colle moi un rapport hijackthis
0
Réponse 19 / 38
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009
7 avril 2008 à 14:29
nouveau rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:29, on 07/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS.2\System32\smss.exe
C:\WINDOWS.2\system32\winlogon.exe
C:\WINDOWS.2\system32\services.exe
C:\WINDOWS.2\system32\lsass.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\system32\svchost.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\spoolsv.exe
C:\WINDOWS.2\system32\acs.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\Ati2evxx.exe
C:\WINDOWS.2\Explorer.EXE
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\OLITEC\ACU.exe
C:\WINDOWS.2\Mixer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS.2\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS.2\system32\wuauclt.exe
C:\WINDOWS.2\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS.2\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\julien.ORDISALON\Bureau\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.2\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.2\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.2\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/ImageUploader4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Service de configuration OLITEC (ACS) - Unknown owner - C:\WINDOWS.2\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.2\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.2\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS.2\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
7 avril 2008 à 15:14
c'est le rapport de l'autre pc qu'il faut analyser ou le meme pc (pc 2)?
0
recinho Messages postés 40 Date d'inscription jeudi 3 avril 2008 Statut Membre Dernière intervention 4 février 2009 > jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022
7 avril 2008 à 15:26
ba toujours le meme je croyais que tu me demandais un nouveau rapport hijackthis du pc 2 pour bien verifier qu'il ne reste plus rien et que c'est reglé pour le pc 2.
0
Réponse 20 / 38
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
7 avril 2008 à 15:34
non c'est bon on peut passer a ton autre pc , le numero 1
colle moi un hijackhtis
0

Discussions similaires

"Aucune application permettant d'ouvrir cette URL"
sidojaice -
JIP -

24 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Impossible d'ouvrir des liens via mon Samsung A71
bleuenn29 -
Pierr10 -

4 réponses
a quoi sert Apple Application Support peut on le supprimer
mamounepoune -
flo -

12 réponses