Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Aide pour utiliser le logiciel Hijack This

Dernière réponse le 16 sep 2008 à 10:26:20 wasselie, le 16 sep 2008 à 05:32:21

Signaler ce message aux modérateurs

Bonjour,
mon pc est infecte. J'ai telecharge le Hijack This . Cependant il est note qu'il est preferable de faire appel a une personne experimenter avant d'utiliser le programme.
j'ai copier le rapport editer par Hijack This
merci de m'aider a regler mon probleme

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:14, on 16/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Ahead\InCD\InCD.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\system32\Rundll32.exe
H:\WINDOWS\system32\rundll32.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Messenger\msmsgs.exe
H:\WINDOWS\system32\taskmgr.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - H:\Program Files\Search Settings\kb127\SearchSettings.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - H:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXCFCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LVCOMSX] H:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] H:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] H:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SearchSettings] H:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] H:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [000000af] rundll32.exe "H:\WINDOWS\system32\habfnsrv.dll",b
O4 - HKLM\..\Run: [BM8f3315b6] Rundll32.exe "H:\WINDOWS\system32\vdlsajdl.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [gmosc] "h:\documents and settings\user\local settings\application data\gmosc.exe" gmosc
O4 - HKCU\..\Run: [Picasa Media Detector] H:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - G:\Player\__CDS2.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: lxcf_device - - H:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg
End of file - 6680 bytes

Configuration: Windows XP
Internet Explorer 6.0

Meilleures réponses pour « aide pour utiliser le logiciel Hijack This » dans :

Utilisation de Hijack This (Résolu) Voir

Utilisation de Hijack This ?? Voir

Télécharger patch français pour hijack this. Voir

Hijack This sain ou infecté ? (Résolu) Voir

Hijack this Voir

Iexplorer.exe à 100% - Rapport Hijack This Voir

Télécharger Hijackthis VoirHijackthis est un logiciel qui aide à la désinfection, cependant, il est à ne pas mettre entre toutes les mains. C'est un outil spécifique permettant de détecter et de supprimer les spywares et hijackers installés furtivement sur votre ordinateur....

Posez votre question Répondre

Destrio5, le 16 sep 2008 à 05:44:18

Salut,

Ton PC est très infecté.

---> Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
http://eric.71.mespages.googlepages.com/ToolBarSD.exe

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

Répondre à Destrio5

wasselie, le 16 sep 2008 à 05:52:16

C'est fait, voici le rapport.

-----------\\ ToolBar S&D 1.2.0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Award Medallion BIOS v6.00PG
USER : User ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)
A:\ (USB)
C:\ (USB)
D:\ (USB)
E:\ (USB)
F:\ (USB)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total : 232 Go Free : 208 Go

"H:\ToolBar SD" ( MAJ : 14-09-2008|23:30 )
Option : [1] ( 16/09/2008|14:48 )

-----------\\ Recherche de Fichiers / Dossiers ...

H:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
H:\DOCUME~1\User\APPLIC~1\Search Settings
H:\DOCUME~1\User\APPLIC~1\Search Settings\kb127
H:\Program Files\Search Settings
H:\Program Files\Search Settings\kb127
H:\Program Files\Search Settings\SearchSettings.exe

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="H:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.com/"
"Search Page"="http://www.google.com"
"Search Bar"="http://www.google.com/ie"
"Default_Search_URL"="http://www.google.com/ie"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.google.com/ie"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=66028"
"CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028"

--------------------\\ Recherche d'autres infections

H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.dat
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.exe
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_nav.dat
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_navps.dat
[b]==> EGDACCESS <==/b

H:\WINDOWS\system32\NmVEOXbc.ini
H:\WINDOWS\system32\NmVEOXbc.ini2
H:\WINDOWS\system32\wHhjTBeg.ini
H:\WINDOWS\system32\wHhjTBeg.ini2
[b]==> VUNDO <==/b

--------------------\\ Cracks & Keygens ..

H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen
H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen\PowerDVD6-Keygen.exe
H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen\readme.txt
H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen\SoftArchive.NeT.url
H:\DOCUME~1\User\Mes documents\V7.7.5.1\keygen.exe

1 - "H:\ToolBar SD\TB_1.txt" - 16/09/2008|14:49 - Option : [1]

-----------\\ Fin du rapport a 14:49:32,09

Répondre à wasselie

Destrio5, le 16 sep 2008 à 05:53:50

Fais l'option 2 de ToolBar S&D.

Répondre à Destrio5

wasselie, le 16 sep 2008 à 06:02:52

OK j'ai selectionné l'option 2
voici le rapport
-----------\\ ToolBar S&D 1.2.0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Award Medallion BIOS v6.00PG
USER : User ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)
A:\ (USB)
C:\ (USB)
D:\ (USB)
E:\ (USB)
F:\ (USB)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total : 232 Go Free : 208 Go

"H:\ToolBar SD" ( MAJ : 14-09-2008|23:30 )
Option : [2] ( 16/09/2008|14:59 )

-----------\\ SUPPRESSION

Supprime! - H:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
Supprime! - H:\DOCUME~1\User\APPLIC~1\Search Settings\kb127
Supprime! - H:\Program Files\Search Settings\kb127
Supprime! - H:\Program Files\Search Settings\SearchSettings.exe
Supprime! - H:\DOCUME~1\User\APPLIC~1\Search Settings
Supprime! - H:\Program Files\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="H:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.com/"
"Search Page"="http://www.google.com"
"Search Bar"="http://www.google.com/ie"
"Default_Search_URL"="http://www.google.com/ie"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.google.com/ie"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.msn.com/"
"SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=66028"
"CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028"

--------------------\\ Recherche d'autres infections

H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.dat
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.exe
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_nav.dat
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_navps.dat
[b]==> EGDACCESS <==/b

H:\WINDOWS\system32\NmVEOXbc.ini
H:\WINDOWS\system32\NmVEOXbc.ini2

Répondre à wasselie

Destrio5, le 16 sep 2008 à 06:04:09

---> Supprime ToolBar S&D

- Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

- Double-clique sur Navilog1.exe afin de lancer l'installation

- Si le fix ne lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le bureau

- Appuie sur F ou f puis valide par Entrée

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options

- Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix

- Patiente jusqu'au message : *** Analyse Termine le ..... ***

- Le scan fini, le bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse

- Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.

Répondre à Destrio5

wasselie, le 16 sep 2008 à 06:24:46

Je suis allée dans le C:\fixnvi.txt pour trouver le fichier
l'analyse est terminé et il est demander d'appuyer sur une touche pour continuer .

Search Navipromo version 3.6.5 commencé le 16/09/2008 à 15:15:47,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis H:\Program Files\navilog1
Session actuelle : "User"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "H:\WINDOWS" ***

*** Recherche dossiers dans "H:\Program Files" ***

*** Recherche dossiers dans "H:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "H:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "h:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "H:\Documents and Settings\User\applic~1" ***

*** Recherche dossiers dans "H:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "H:\Documents and Settings\User\locals~1\applic~1" ***

*** Recherche dossiers dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "H:\Documents and Settings\User\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "H:\WINDOWS\system32" *

* Recherche dans "H:\Documents and Settings\User\locals~1\applic~1" *

* Recherche dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "H:\WINDOWS\system32" :

* Dans "H:\Documents and Settings\User\locals~1\applic~1" :

gmosc.dat trouvé !
gmosc.exe trouvé !
gmosc_nav.dat trouvé !
gmosc_navps.dat trouvé !

* Dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

H:\WINDOWS\system32\NmVEOXbc.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
H:\WINDOWS\system32\wHhjTBeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 16/09/2008 à 15:19:01,32 ***

Répondre à wasselie

Destrio5, le 16 sep 2008 à 06:25:35

Relance Navilog1, fais l'option 2 et poste le rapport.

Répondre à Destrio5

wasselie, le 16 sep 2008 à 06:38:33

C'est fait voici le rapport

Clean Navipromo version 3.6.5 commencé le 16/09/2008 à 15:30:24,15

Outil exécuté depuis H:\Program Files\navilog1
Session actuelle : "User"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "H:\WINDOWS\System32" *

* Suppression dans "H:\Documents and Settings\User\locals~1\applic~1" *

* Suppression dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Suppression dossiers dans "H:\WINDOWS" ***

*** Suppression dossiers dans "H:\Program Files" ***

*** Suppression dossiers dans "H:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "H:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "h:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "H:\Documents and Settings\User\applic~1" ***

*** Suppression dossiers dans "H:\DOCUME~1\ADMINI~1\applic~1" ***

*** Suppression dossiers dans "H:\Documents and Settings\User\locals~1\applic~1" ***

*** Suppression dossiers dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Suppression dossiers dans "H:\Documents and Settings\User\menudm~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu H:\WINDOWS\Temp effectué !
Nettoyage contenu H:\Documents and Settings\User\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "H:\WINDOWS\system32" *

* Dans "H:\Documents and Settings\User\locals~1\applic~1" *

gmosc.exe trouvé !
Copie gmosc.exe réalisée avec succès !
gmosc.exe supprimé !

gmosc.dat trouvé !
Copie gmosc.dat réalisée avec succès !
gmosc.dat supprimé !

gmosc_nav.dat trouvé !
Copie gmosc_nav.dat réalisée avec succès !
gmosc_nav.dat supprimé !

gmosc_navps.dat trouvé !
Copie gmosc_navps.dat réalisée avec succès !
gmosc_navps.dat supprimé !

* Dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 16/09/2008 à 15:33:29,62 ***

Répondre à wasselie

Destrio5, le 16 sep 2008 à 06:39:31

---> Tu peux désinstaller Navilog1

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Répondre à Destrio5

wasselie, le 16 sep 2008 à 06:59:40

Je n'arrive pas a télécharger ComboFix
j'ai fais une recherche dans le Pc et j'ai trouve un fichier que j'ai copie

PUSHD "H:\32788R22FWJFW\"

IF NOT EXIST H:\WINDOWS\system32\cmd.exe GOTO Not_NT

VER 1>temp00

H:\WINDOWS\system32\FIND.exe "Microsoft Windows [Version 5.2.3790]" temp00 1>NULL

IF NOT ERRORLEVEL 1 GOTO Not_NT

H:\WINDOWS\system32\FIND.exe "Windows XP" temp00 1>NULL

HANDLE | SED -r "/<Non-existant Process> pid: ([0-9]*) .*/!d; s//@Nircmd KillProcess \/\1/" 1>temp00.bat

CALL temp00.bat

PV -o"%i\t%l" | SED "/\t.*\\nircmd\.inf$/!d; s///; s/./@pv -kfi &/" 1>temp01.bat

CALL temp01.bat

DEL /Q temp0?.bat temp00 2>NULL

=============================================

ALLUSERSPROFILE=H:\Documents and Settings\All Users
APPDATA=H:\Documents and Settings\User\Application Data
CFLDR=32788R22FWJFW
CLIENTNAME=Console
CommonProgramFiles=H:\Program Files\Fichiers communs
COMPUTERNAME=PROPRIETAIRE
ComSpec=H:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=H:
HOMEPATH=\Documents and Settings\User
KMD=CF25636.exe
LOGONSERVER=\\PROPRIETAIRE
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=H:\32788R22FWJFW;H:\WINDOWS\system32;H:\WINDOWS;H:\WINDOWS\system32\wbem;H:\Program Files\Internet Explorer;;H:\Program Files\Windows Live\Mail\;H:\Program Files\Windows Live\Messenger\;H:\WINDOWS\system32;H:\WINDOWS;H:\WINDOWS\System32\Wbem;H:\PROGRA~1\MICROS~2\Office
PATHEXT=.cfexe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0403
ProgramFiles=H:\Program Files
PROMPT=$
SESSIONNAME=Console
sfxcmd="H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\ComboFix[1].exe"
sfxname=H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\ComboFix[1].exe
SYSTEM=H:\WINDOWS\system32
SystemDrive=H:
SystemRoot=H:\WINDOWS
TEMP=H:\DOCUME~1\User\LOCALS~1\Temp
TMP=H:\DOCUME~1\User\LOCALS~1\Temp
USERDOMAIN=PROPRIETAIRE
USERNAME=User
USERPROFILE=H:\Documents and Settings\User
windir=H:\WINDOWS

=============================================

IF NOT DEFINED sfxname GOTO END

CALL sfx.cmd

IF /I "H:\32788R22FWJFW" NEQ "H:\32788R22FWJFW" GOTO Abort

IF EXIST "H:\DOCUME~1\User\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" DEL "H:\DOCUME~1\User\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log"
SteelWerX Extended Configuration Access Control Lists
Written by Bobbi Flekman 2006 (C)
Ownerchange for "H:\WINDOWS\system32\cmd.exe" to Administrators group was successful

rem COPY /Y "H:\WINDOWS\system32\cmd.exe" "H:\WINDOWS\system32\CF25636.exe"

(
SET "FileName=ComboFix[1]"
SET "FilePath=H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\"
)

SET FileName 1>FileName 2>NULL

GREP -isqx "FileName=[-[:alnum:]@.]*" FileName || (
Nircmd infobox "You cannot rename ComboFix as ComboFix[1]~n~nPlease use another name, preferbaly made up of alphanumeric characters" ""
GOTO END
)

IF EXIST "H:\WINDOWS\system32\cmd.cfexe" MOVE /Y "H:\WINDOWS\system32\cmd.cfexe" "H:\DOCUME~1\User\LOCALS~1\Temp"

CD ..

IF DEFINED cfldr RD /S/Q "32788R22FWJFW"

Répondre à wasselie

Destrio5, le 16 sep 2008 à 07:01:02

---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

Répondre à Destrio5

wasselie, le 16 sep 2008 à 07:20:50

C'est fait j'ai supprimé tout ce qu'il a trouvé
et voici le rapport

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1159
Windows 5.1.2600 Service Pack 2

16/09/2008 16:19:04
mbam-log-2008-09-16 (16-19-04).txt

Type de recherche: Examen rapide
Eléments examinés: 44560
Temps écoulé: 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
H:\WINDOWS\system32\cbXOEVmN.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\habfnsrv.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\vdlsajdl.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e4ec44a-efa5-4ecd-91ba-953e60f06167} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9e4ec44a-efa5-4ecd-91ba-953e60f06167} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000000af (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm8f3315b6 (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: h:\windows\system32\cbxoevmn -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: h:\windows\system32\cbxoevmn -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
H:\WINDOWS\system32\wTR02 (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
H:\WINDOWS\system32\cbXOEVmN.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\NmVEOXbc.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\NmVEOXbc.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\habfnsrv.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\vrsnfbah.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\vdlsajdl.dll (Trojan.Vundo) -> Delete on reboot.
H:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\BM8f3315b6.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\BM8f3315b6.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Répondre à wasselie

Destrio5, le 16 sep 2008 à 07:23:38

---> Relance MBAM, va dans Quarantaine et supprime tout

---> Essaie de lancer ComboFix

Répondre à Destrio5

wasselie, le 16 sep 2008 à 07:39:47

Voici le message d'erreur que j'obtiens
YOU cannot rename ComboFix as ComboFix [1] Please use another name, preferbaly made up of alphanumeric ic characters

Répondre à wasselie

Destrio5, le 16 sep 2008 à 07:40:34

Télécharge-le dans Mes documents.

Répondre à Destrio5

wasselie, le 16 sep 2008 à 07:48:52

C'est fait

ComboFix 08-09-15.02 - User 2008-09-16 16:44:00.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.709 [GMT 11:00]
Lancé depuis: H:\Documents and Settings\User\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b /color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Documents and Settings\User\ravmonlog
H:\WINDOWS\system32\chbsofdn.ini
H:\WINDOWS\system32\emrynqvk.dll
H:\WINDOWS\system32\MSINET.oca
H:\WINDOWS\system32\nasoebss.dll
H:\WINDOWS\system32\ukdkscni.ini
H:\WINDOWS\system32\wHhjTBeg.ini
H:\WINDOWS\system32\wHhjTBeg.ini2

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-16 au 2008-09-16 ))))))))))))))))))))))))))))))))))))
.

2008-09-16 16:08 . 2008-09-16 16:08 <REP> d-------- H:\Program Files\Malwarebytes' Anti-Malware
2008-09-16 16:08 . 2008-09-16 16:08 <REP> d-------- H:\Documents and Settings\User\Application Data\Malwarebytes
2008-09-16 16:08 . 2008-09-16 16:08 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-16 16:08 . 2008-09-10 00:04 38,528 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-16 16:08 . 2008-09-10 00:03 17,200 --a------ H:\WINDOWS\system32\drivers\mbam.sys
2008-09-16 16:03 . 2008-09-16 16:03 <REP> d-------- H:\Documents and Settings\User\Application Data\GoodSync
2008-09-16 16:02 . 2008-09-16 16:22 <REP> d-------- H:\Program Files\Siber Systems
2008-09-16 15:14 . 2008-09-16 15:42 <REP> d-------- H:\Program Files\Navilog1
2008-09-16 14:48 . 2008-09-16 15:00 3,178 --a------ H:\Documents and Settings\Orph.egd
2008-09-16 14:01 . 2008-09-16 14:01 <REP> d-------- H:\Program Files\Trend Micro
2008-09-15 15:38 . 2008-09-15 15:38 <REP> d-------- H:\Program Files\Avira
2008-09-15 15:17 . 2008-09-15 15:17 <REP> d-------- H:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP
2008-09-15 15:16 . 2008-09-15 15:16 <REP> d-------- H:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-14 18:15 . 2008-09-15 15:15 <REP> d-------- H:\Program Files\Spybot - Search & Destroy
2008-09-14 18:15 . 2008-09-15 15:15 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-13 03:55 . 2008-09-13 03:55 <REP> d-------- H:\Documents and Settings\User\Application Data\Nettordinateur
2008-09-12 20:22 . 2008-09-15 15:17 <REP> d-------- H:\Program Files\Mozilla Firefox(2)
2008-09-12 20:22 . 2008-09-12 20:22 0 --a------ H:\WINDOWS\nsreg.dat
2008-09-12 20:05 . 2008-09-12 20:05 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Nettordinateur
2008-09-12 18:43 . 2008-09-15 15:17 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Lavasoft
2008-09-12 18:21 . 2008-09-12 18:21 <REP> d-------- H:\Program Files\Fichiers communs\Nero
2008-09-12 18:20 . 2008-09-12 18:20 <REP> d-------- H:\WINDOWS\InCD
2008-09-12 18:20 . 2008-09-12 18:20 <REP> d-------- H:\Program Files\Ahead
2008-09-12 18:20 . 2005-01-28 18:02 2,658,304 --------- H:\WINDOWS\NuNinst.exe
2008-09-12 18:20 . 2005-01-27 19:08 99,200 --------- H:\WINDOWS\system32\drivers\InCDfs.sys
2008-09-12 18:20 . 2005-06-18 21:19 57,929 --------- H:\WINDOWS\NuNinst.cfg
2008-09-12 18:20 . 2005-01-27 19:07 28,928 --------- H:\WINDOWS\system32\drivers\InCDpass.sys
2008-09-12 18:20 . 2005-01-28 19:07 27,776 --------- H:\WINDOWS\system32\drivers\InCDrm.sys
2008-09-12 18:20 . 2005-01-27 19:08 8,704 --------- H:\WINDOWS\system32\drivers\InCDrec.sys
2008-09-12 12:59 . 2008-09-12 12:59 <REP> d-------- H:\Program Files\Attack on Pearl Harbor Demo
2008-09-11 21:20 . 2008-09-12 12:59 <REP> d-------- H:\Program Files\LimeWire
2008-09-11 20:31 . 2008-09-12 12:59 <REP> d-------- H:\Program Files\KaraFun
2008-09-11 20:16 . 2008-09-12 12:59 <REP> d-------- H:\Program Files\Minilyrics
2008-09-11 20:16 . 2008-09-11 20:43 <REP> d-------- H:\Lyrics
2008-09-11 20:16 . 2008-09-12 12:59 <REP> d-------- H:\Documents and Settings\User\Application Data\MiniLyrics
2008-09-08 13:27 . 2008-09-12 12:59 <REP> d-------- H:\Documents and Settings\Administrateur\Modèles
2008-09-08 13:27 . 2008-09-08 13:29 <REP> d-------- H:\Documents and Settings\Administrateur\Mes documents
2008-09-08 13:27 . 2008-09-12 12:59 <REP> d---s---- H:\Documents and Settings\Administrateur
2008-09-07 07:51 . 1998-11-13 13:16 308,224 --a------ H:\WINDOWS\IsUn040c.exe
2008-09-07 07:51 . 2008-09-07 07:51 256 --a------ H:\WINDOWS\_delis32.ini
2008-09-06 11:06 . 2008-09-12 08:14 <REP> d-------- H:\Documents and Settings\User\Application Data\LimeWire
2008-09-06 09:27 . 2008-09-06 09:27 <REP> d-------- H:\WINDOWS\Sun
2008-09-06 09:27 . 2008-09-06 09:27 <REP> d-------- H:\Program Files\Sun
2008-09-06 09:27 . 2008-06-10 02:32 73,728 --a------ H:\WINDOWS\system32\javacpl.cpl
2008-09-06 09:26 . 2008-09-06 09:27 <REP> d-------- H:\Program Files\Java
2008-09-06 09:24 . 2008-09-06 09:24 <REP> d-------- H:\Program Files\Fichiers communs\Java
2008-09-06 09:16 . 2008-09-15 15:16 <REP> d-------- H:\Program Files\Free Audio Pack
2008-09-02 18:19 . 2008-09-02 18:19 <REP> d-------- H:\WINDOWS\system32\IOSUBSYS
2008-09-02 18:19 . 2006-10-05 13:42 2,560 --------- H:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-02 18:19 . 2006-10-05 13:42 2,432 --------- H:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-08-30 13:40 . 2008-09-13 04:01 <REP> d-------- H:\WINDOWS\system32\NtmsData
2008-08-30 13:18 . 2008-09-06 08:52 <REP> d-------- H:\Program Files\SIW
2008-08-27 19:47 . 2008-09-02 18:19 <REP> d-------- H:\Program Files\Picasa2
2008-08-24 18:40 . 2008-09-07 07:53 <REP> d-------- H:\Program Files\Yahoo!
2008-08-24 18:40 . 2008-08-24 18:40 <REP> d-------- H:\Program Files\CCleaner
2008-08-24 14:59 . 2008-08-24 19:04 <REP> d-a------ H:\Documents and Settings\All Users\Application Data\TEMP
2008-08-16 19:05 . 2008-08-17 18:01 <REP> d-------- H:\Program Files\Fichiers communs\Symantec Shared
2008-08-16 10:31 . 2008-09-02 12:43 <REP> d-------- H:\WINDOWS\system32\Adobe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 04:41 --------- d-----w H:\Program Files\Lx_cats
2008-09-15 10:40 --------- d-----w H:\Documents and Settings\User\Application Data\dvdcss
2008-09-15 04:38 --------- d-----w H:\Documents and Settings\All Users\Application Data\Avira
2008-09-12 01:57 --------- d-----w H:\Program Files\InterActual
2008-09-06 20:53 --------- d-----w H:\Program Files\Windows Live Toolbar
2008-09-06 20:52 --------- d--h--w H:\Program Files\InstallShield Installation Information
2008-08-17 19:32 --------- d-----w H:\Program Files\Google
2008-08-04 03:36 --------- d-----w H:\Program Files\Windows Media Connect 2
2008-08-01 08:52 --------- d-----w H:\Documents and Settings\User\Application Data\ArcSoft
2008-07-28 07:16 --------- d-----w H:\Documents and Settings\User\Application Data\Canon
2008-07-26 01:22 --------- d-----w H:\Program Files\Canon
2008-07-26 01:13 --------- d-----w H:\Program Files\ArcSoft
2008-07-23 08:41 --------- d-----w H:\Documents and Settings\User\Application Data\CyberLink
2008-07-21 08:05 --------- d-----w H:\Documents and Settings\User\Application Data\vlc
2008-07-20 20:06 --------- d-----w H:\Program Files\VideoLAN
2008-07-18 11:10 94,920 ----a-w H:\WINDOWS\system32\cdm.dll
2008-07-18 11:10 53,448 ----a-w H:\WINDOWS\system32\wuauclt.exe
2008-07-18 11:10 45,768 ----a-w H:\WINDOWS\system32\wups2.dll
2008-07-18 11:10 36,552 ----a-w H:\WINDOWS\system32\wups.dll
2008-07-18 11:09 563,912 ----a-w H:\WINDOWS\system32\wuapi.dll
2008-07-18 11:09 325,832 ----a-w H:\WINDOWS\system32\wucltui.dll
2008-07-18 11:09 205,000 ----a-w H:\WINDOWS\system32\wuweb.dll
2008-07-18 11:09 1,811,656 ----a-w H:\WINDOWS\system32\wuaueng.dll
2008-07-18 11:07 270,880 ----a-w H:\WINDOWS\system32\mucltui.dll
2008-07-18 11:07 210,976 ----a-w H:\WINDOWS\system32\muweb.dll
2008-07-07 20:31 253,952 ----a-w H:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w H:\WINDOWS\system32\mscms.dll
2008-06-24 07:12 295,936 ------w H:\WINDOWS\system32\wmpeffects.dll
2008-06-23 15:40 663,552 ----a-w H:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w H:\WINDOWS\system32\mswsock.dll
2008-06-06 08:54 35,152 -c--a-w H:\Documents and Settings\User\Application Data\GDIPFONTCACHEV1.DAT
2008-06-01 07:15 15,397 -c--a-w H:\Program Files\settings.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="H:\Program Files\Messenger\msmsgs.exe" [2004-10-14 1694208]
"swg"="H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-07-25 171448]
"Picasa Media Detector"="H:\Program Files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="H:\WINDOWS\system32\NvCpl.dll" [2006-06-01 7618560]
"NvMediaCenter"="H:\WINDOWS\system32\NvMcTray.dll" [2006-06-01 86016]
"LXCFCATS"="H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-21 73728]
"LVCOMSX"="H:\WINDOWS\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="H:\Program Files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="H:\Program Files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"Adobe Reader Speed Launcher"="H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"RemoteControl"="H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"SunJavaUpdateSched"="H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"InCD"="H:\Program Files\Ahead\InCD\InCD.exe" [2005-01-28 1381376]
"avgnt"="H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-06-01 H:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

H:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - H:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a--c--- 2007-01-15 16:14 147456 H:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:54 15360 H:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2006-01-12 15:40 155648 H:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a--c--- 2005-05-03 18:43 69632 H:\WINDOWS\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio]
--------- 2005-01-07 17:07 61952 H:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2005-06-29 13:25 14720000 H:\WINDOWS\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Program Files\\Messenger\\msmsgs.exe"=
"H:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"H:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"H:\\WINDOWS\\system32\\dpvsetup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12011:TCP"= 12011:TCP:NortonAV
"12914:TCP"= 12914:TCP:NortonAV

R3 3xHybrid;3xHybrid service;H:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-03 710144]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0CCADB30-E6E0-4190-B957-07475720491E} - (no file)
BHO-{2E88B5AE-9737-415B-BE30-371B8E5DC001} - (no file)
ShellExecuteHooks-{2E88B5AE-9737-415B-BE30-371B8E5DC001} - (no file)
Notify-yayyWpQH - yayyWpQH.dll

.
------- Examen supplémentaire -------
.
FireFox -: Profile - H:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\ugo6h234.default\
FF -: plugin - H:\Program Files\Picasa2\npPicasa2.dll
FF -: plugin - H:\Program Files\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-16 16:45:15
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCFCATS = rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-09-16 16:46:42
ComboFix-quarantined-files.txt 2008-09-16 05:46:19

Avant-CF: 223,587,094,528 octets libres
AprŠs-CF: 223,590,854,656 octets libres

202 --- E O F --- 2008-09-12 06:49:54

Répondre à wasselie

Destrio5, le 16 sep 2008 à 07:53:11

- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://siri.geekstogo.com/SmitfraudFix.exe

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix

Répondre à Destrio5

wasselie, le 16 sep 2008 à 07:58:09

Voila ,

SmitFraudFix v2.351

Rapport fait à 16:55:55,34, 16/09/2008
Executé à partir de H:\Documents and Settings\User\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Ahead\InCD\InCD.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
H:\Program Files\Picasa2\PicasaMediaDetector.exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Windows Live\Messenger\usnsvc.exe
H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\explorer.exe
H:\Program Files\Windows Live\Messenger\msnmsgr.exe
H:\Program Files\Windows Live\Mail\wlmail.exe
h:\program files\avira\antivir personaledition classic\avcenter.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxcfPSWX.EXE
H:\WINDOWS\system32\lxcfcoms.exe
H:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» H:\

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\User

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\User\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\User\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg"
"SubscribedURL"="http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="H:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Répondre à wasselie

Destrio5, le 16 sep 2008 à 08:01:00

Supprime SmitFraudFix.

---> Télécharge OTMoveIt2 à partir du lien ci-dessous :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

---> Enregistre le fichier sur le Bureau.

---> Double-clique sur le fichier OTMoveIt2.exe pour lancer l'outil.
Assure-toi que la case Unregister Dll's and Ocx's soit bien cochée.

---> Copie l'intégralité du texte ci-dessous et colle-le dans la fenêtre intitulée Paste List Of Files/Folders to Move.

H:\Documents and Settings\User\Application Data\Nettordinateur\
H:\Documents and Settings\All Users\Application Data\Nettordinateur\

---> Clique sur MoveIt! pour lancer la suppression.
Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit.

Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

---> Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.

Répondre à Destrio5

32 réponses 12 Suivant

Posez votre question Répondre