A mon tour d'être infecté par spyware-secureFermé

Question

Bonjour à tous. Je suis à mon tour infecté pas plein de fenêtres de pub, avec très souvent la fenêtre spyware-secure.com me demandant de télécharger un antivirus ... chose que je n'ai pas faite car je flaire le piège, et d'ailleurs les forums me le montrent. J'ai Kaspersky et j'ai essayé les autres outils classiques (adaware, spybot, ...)
En consultant les forums, j'ai suivi la procédure avec navilog et je joins le résultat ci-dessous.

Merci de m'aider pour les prochaines étapes. J'attends un avis éclairé avant de lancer l'option 2 de navilog.

Pascal

Config: XP SP2, explorer 6.0

Rapport Navilog:

Search Navipromo version 2.0.8 commencé le 08/09/2007 à 18:00:18,45
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 
MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***






...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/08/07 at 18:00:20.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/08/07 at 18:02:16 (return code = 0).


*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
HKEY_USERS\S-1-5-21-507921405-1078081533-725345543-1006\Software\Lanconfig trouvé !  


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
C:\WINDOWS\system32\jarljhul.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\jarljhul_navps.dat trouvé !
***** 
C:\WINDOWS\system32\jarljhul_nav.dat trouvé !
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Recherche avec GenericNaviSearch Beta ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

C:\WINDOWS\system32\hxhukdgqt.exe trouvé ! 
C:\WINDOWS\system32\hynfnlbdsm.exe trouvé ! 
C:\WINDOWS\system32	cwnfnn.exe trouvé ! 

Fichiers suspects :

C:\WINDOWS\system32\bqratxwjz.exe trouvé !
C:\WINDOWS\system32\cdvyej.exe trouvé !
C:\WINDOWS\system32\jarljhul.exe trouvé !
C:\WINDOWS\system32\kcgktut.exe trouvé !
C:\WINDOWS\system32
nvxviit.exe trouvé !
C:\WINDOWS\system32\ofiqcwj.exe trouvé !
C:\WINDOWS\system32\opusqv.exe trouvé !
C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
C:\WINDOWS\system32dfytaamw.exe trouvé !
C:\WINDOWS\system32obbwui.exe trouvé !
C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
C:\WINDOWS\system32\vvexvov.exe trouvé !


*** Analyse Terminé le 08/09/2007 à 18:02:29,01 ***

Utilisateur anonyme · Answer

SLT


ok il a bien trouvé l´infection 

2eme etape: 

¤Démarre en mode sans échec : 

Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 

Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 

Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 

(Si F8 ne marche pas utilise la touche F5). 

Double clique sur navilog1.bat 

Laisses-toi guider. 

Au menu principal, choisis 2 et valides. 

Indique le mode de nettoyage "automatique" 

Laisses toi guider et réponds aux questions éventuelles 
Ton bureau va disparaitre, c'est normal. 

Patientes jusqu'au message : 

*** Nettoyage Termine le ..... *** 

Appuies sur une touche comme demandé, le bloc note va s'ouvrir. 

Sauvegardes le rapport de manière à le retrouver 

Refermes le bloc note. 

Ton bureau va réapparaitre 

Redémarres normalement et copies-colles l'intégralité dans une réponse. 

Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt) 

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter" 
Tapes explorer et valides. Cela te fera apparaitre ton bureau 

poste le rapport stp... 
=============================================================================

 - Hijackthis - Outil de diagnostic et réparation 
télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 
Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/demohijack.htm 

http://www.tutoriaux-excalibur.com/hijackthis.htm 


Je vous conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."
=============================================================

3an83 · Answer

Merci Nanard. J'ai suivi tes consignes, et je t eposte le résultat:

Clean Navipromo version 2.0.8 commencé le 08/09/2007 à 19:21:36,21

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression... 
C:\Program Files\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Sophie 

...\Application Data\MessengerSkinner ...suppression... 
...\Application Data\MessengerSkinner supprimé ! 



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf supprimé !    

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi *** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
** 
C:\WINDOWS\System32\jarljhul.dat trouvé !
Copie C:\WINDOWS\system32\jarljhul.dat réalise avec succes !
C:\WINDOWS\system32\jarljhul.dat supprimé !

*** 
**** 
C:\WINDOWS\System32\jarljhul_navps.dat trouvé !
Copie C:\WINDOWS\system32\jarljhul_navps.dat réalise avec succes !
C:\WINDOWS\system32\jarljhul_navps.dat supprimé !

***** 
C:\WINDOWS\System32\jarljhul_nav.dat trouvé !
Copie C:\WINDOWS\system32\jarljhul_nav.dat réalise avec succes !
C:\WINDOWS\system32\jarljhul_nav.dat supprimé !

****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !


*** Recherche avec GenericNaviSearch Beta ***
!!! Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés supprimés avec backups :

C:\WINDOWS\System32\hxhukdgqt.exe trouvé !
Copie C:\WINDOWS\system32\hxhukdgqt.exe réalise avec succes !
C:\WINDOWS\system32\hxhukdgqt.exe supprimé !

C:\WINDOWS\System32\hynfnlbdsm.exe trouvé !
Copie C:\WINDOWS\system32\hynfnlbdsm.exe réalise avec succes !
C:\WINDOWS\system32\hynfnlbdsm.exe supprimé !

C:\WINDOWS\System32	cwnfnn.exe trouvé !
Copie C:\WINDOWS\system32	cwnfnn.exe réalise avec succes !
C:\WINDOWS\system32	cwnfnn.exe supprimé !

Fichiers suspects non supprimés :

C:\WINDOWS\system32\bqratxwjz.exe trouvé !
C:\WINDOWS\system32\cdvyej.exe trouvé !
C:\WINDOWS\system32\jarljhul.exe trouvé !
C:\WINDOWS\system32\kcgktut.exe trouvé !
C:\WINDOWS\system32
nvxviit.exe trouvé !
C:\WINDOWS\system32\ofiqcwj.exe trouvé !
C:\WINDOWS\system32\opusqv.exe trouvé !
C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
C:\WINDOWS\system32dfytaamw.exe trouvé !
C:\WINDOWS\system32obbwui.exe trouvé !
C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
C:\WINDOWS\system32\vvexvov.exe trouvé !



*** Nettoyage termine le 08/09/2007 à 19:23:40,78 ***



J'ai également fait tourné Hijackthis, et le log est le suivant:

Logfile of HijackThis v1.99.1
Scan saved at 19:28:46, on 08/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
c:\jetsuite\jsdaemon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\windows\system32\jarljhul.exe
C:\WINDOWS\system32\ctfmon.exe
C:\jetsuite\JETSTAT.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Fichiers communs\efax\dllcmd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
c:\jetsuite\JSFMAN.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [jarljhul] c:\windows\system32\jarljhul.exe jarljhul
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Etat de HP LaserJet 3150.lnk = C:\jetsuite\JETSTAT.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Live Menu.lnk = C:\Program Files\Fichiers communs\efax\dllcmd32.exe
O4 - Global Startup: Register.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\Register.exe
O4 - Global Startup: Wallpaper Changer.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
O4 - Global Startup: WPChanger.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Utilisateur anonyme · Answer

Télécharge SmitfraudFix 
Ouvre ce lien (merci a S!RI pour ce programme) 
http://siri.urz.free.fr/Fix/SmitfraudFix.php 
et télécharge SmitfraudFix.exe. 

Regarde le tuto 

Exécute le en choisissant l’option 1, 
il va générer un rapport 
Copie/colle le sur le poste stp.

3an83 · Answer

Voici le résultat:

SmitFraudFix v2.221

Rapport fait à 20:19:38,03, 08/09/2007
Executé à partir de 
C:\Documents and Settings\Sophie & Pascal\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
c:\jetsuite\jsdaemon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\windows\system32\jarljhul.exe
C:\WINDOWS\system32\ctfmon.exe
C:\jetsuite\JETSTAT.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\efax\dllcmd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
c:\jetsuite\JSFMAN.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32






»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SOPHIE~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: D-Link AirPlus G DWL-G510 Wireless PCI Adapter(rev.C) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4FFBFFBC-2AD5-4A20-B7B6-536A41FA8307}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4FFBFFBC-2AD5-4A20-B7B6-536A41FA8307}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4FFBFFBC-2AD5-4A20-B7B6-536A41FA8307}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

OK

Tu relances hijackthis et tu coches la case ci dessous. Ensuite tu clic ssur fixer.

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 
================================================================================
pour supprimer tes traces utilise

CCLEANER: (lance un nettoyage et répare erreurs) 


http://www.infos-du-net.com/telecharger/CCleaner,0301-1039.html 
____________________ 

Colle le rapport : 
Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente. 

• Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean 
• Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec 
• Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme. 

http://kerio.probb.fr/tuto-Clean-h37.html

pour supprimer tes traces utilise

CCLEANER: (lance un nettoyage et répare erreurs) 


http://www.infos-du-net.com/telecharger/CCleaner,0301-1039.html 
____________________ 

Colle le rapport : 
Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente. 

• Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean 
• Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec 
• Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme. 

http://kerio.probb.fr/tuto-Clean-h37.html
=============================================================================
Post un rapport hijackthis.Merci

3an83 · Answer

j'ai bien hijackthis en cochant la case en question. J'ai également fait tourné CCleaner

Voilà le nouveau log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:53:03, on 08/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\jetsuite\jsdaemon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\windows\system32\jarljhul.exe
C:\WINDOWS\system32\ctfmon.exe
C:\jetsuite\JETSTAT.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\efax\dllcmd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
c:\jetsuite\JSFMAN.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [jarljhul] c:\windows\system32\jarljhul.exe jarljhul
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Etat de HP LaserJet 3150.lnk = C:\jetsuite\JETSTAT.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Live Menu.lnk = C:\Program Files\Fichiers communs\efax\dllcmd32.exe
O4 - Global Startup: Register.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\Register.exe
O4 - Global Startup: Wallpaper Changer.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
O4 - Global Startup: WPChanger.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Utilisateur anonyme · Answer

Tres bien

Toujours des problemes?

3an83 · Answer

Hélas oui ... j'ai toujours la fénêtre spyware-secure qui apparait.

J'ai refait tourné Navilog. Voici le résultat:

Search Navipromo version 2.0.8 commencé le 08/09/2007 à 21:30:00,54
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***







*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/08/07 at 21:30:01.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/08/07 at 21:31:47 (return code = 0).


*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
HKEY_USERS\S-1-5-21-507921405-1078081533-725345543-1006\Software\Lanconfig trouvé !  


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32\jarljhul.dat trouvé !
** 
C:\WINDOWS\system32\jarljhul.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\jarljhul_navps.dat trouvé !
***** 
C:\WINDOWS\system32\jarljhul_nav.dat trouvé !
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Recherche avec GenericNaviSearch Beta ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

C:\WINDOWS\system32\bqratxwjz.exe trouvé !
C:\WINDOWS\system32\cdvyej.exe trouvé !
C:\WINDOWS\system32\jarljhul.exe trouvé !
C:\WINDOWS\system32\kcgktut.exe trouvé !
C:\WINDOWS\system32
nvxviit.exe trouvé !
C:\WINDOWS\system32\ofiqcwj.exe trouvé !
C:\WINDOWS\system32\opusqv.exe trouvé !
C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
C:\WINDOWS\system32dfytaamw.exe trouvé !
C:\WINDOWS\system32obbwui.exe trouvé !
C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
C:\WINDOWS\system32\vvexvov.exe trouvé !


*** Analyse Terminé le 08/09/2007 à 21:31:54,78 ***

Utilisateur anonyme · Answer

2eme etape: 

¤Démarre en mode sans échec : 

Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 

Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 

Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 

(Si F8 ne marche pas utilise la touche F5). 

Double clique sur navilog1.bat 

Laisses-toi guider. 

Au menu principal, choisis 2 et valides. 

Indique le mode de nettoyage "automatique" 

Laisses toi guider et réponds aux questions éventuelles 
Ton bureau va disparaitre, c'est normal. 

Patientes jusqu'au message : 

*** Nettoyage Termine le ..... *** 

Appuies sur une touche comme demandé, le bloc note va s'ouvrir. 

Sauvegardes le rapport de manière à le retrouver 

Refermes le bloc note. 

Ton bureau va réapparaitre 

Redémarres normalement et copies-colles l'intégralité dans une réponse. 

Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt) 

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter" 
Tapes explorer et valides. Cela te fera apparaitre ton bureau 

poste le rapport stp... et  refais un log Hitjakthis

3an83 · Answer

Voilà le résultat

Clean Navipromo version 2.0.8 commencé le 09/09/2007 à 14:47:54,89

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Sophie 



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi *** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
C:\WINDOWS\System32\jarljhul.dat trouvé !
Copie C:\WINDOWS\system32\jarljhul.dat réalise avec succes !
C:\WINDOWS\system32\jarljhul.dat supprimé !

** 
*** 
**** 
C:\WINDOWS\System32\jarljhul_navps.dat trouvé !
Copie C:\WINDOWS\system32\jarljhul_navps.dat réalise avec succes !
C:\WINDOWS\system32\jarljhul_navps.dat supprimé !

***** 
C:\WINDOWS\System32\jarljhul_nav.dat trouvé !
Copie C:\WINDOWS\system32\jarljhul_nav.dat réalise avec succes !
C:\WINDOWS\system32\jarljhul_nav.dat supprimé !

****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !


*** Recherche avec GenericNaviSearch Beta ***
!!! Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés supprimés avec backups :

Aucun Fichier trouvé !

Fichiers suspects non supprimés :

C:\WINDOWS\system32\bqratxwjz.exe trouvé !
C:\WINDOWS\system32\cdvyej.exe trouvé !
C:\WINDOWS\system32\jarljhul.exe trouvé !
C:\WINDOWS\system32\kcgktut.exe trouvé !
C:\WINDOWS\system32
nvxviit.exe trouvé !
C:\WINDOWS\system32\ofiqcwj.exe trouvé !
C:\WINDOWS\system32\opusqv.exe trouvé !
C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
C:\WINDOWS\system32dfytaamw.exe trouvé !
C:\WINDOWS\system32obbwui.exe trouvé !
C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
C:\WINDOWS\system32\vvexvov.exe trouvé !



*** Nettoyage termine le 09/09/2007 à 14:49:59,15 ***


Et le rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:52:06, on 09/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
c:\jetsuite\jsdaemon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\windows\system32\jarljhul.exe
C:\WINDOWS\system32\ctfmon.exe
C:\jetsuite\JETSTAT.EXE
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Fichiers communs\efax\dllcmd32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\jetsuite\JSFMAN.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [jarljhul] c:\windows\system32\jarljhul.exe jarljhul
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Etat de HP LaserJet 3150.lnk = C:\jetsuite\JETSTAT.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Live Menu.lnk = C:\Program Files\Fichiers communs\efax\dllcmd32.exe
O4 - Global Startup: Register.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\Register.exe
O4 - Global Startup: Wallpaper Changer.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
O4 - Global Startup: WPChanger.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Utilisateur anonyme · Answer

clic sur le lien

f secure blacklight

post le rapport

3an83 · Answer

J'ai lancé f-secure blacklight, mais il n'a rien trouvé (0 items found) ... décidément, cela devient vicieux. Et la fénêtre de spyware-secure apparait toujours, ainsi que les pubs.

Utilisateur anonyme · Answer

Tu relances hijackthis et tu coches la case ci dessous.Ensuite tu clic sur fixer.Post un rapport hijackthis

4 - HKLM\..\Run: [jarljhul] c:\windows\system32\jarljhul.exe jarljhul 

Supprimme ca

C:\windows\system32\jarljhul.exe

3an83 · Answer

Voilà le résultat

Logfile of HijackThis v1.99.1
Scan saved at 19:53:58, on 09/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
c:\jetsuite\jsdaemon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\system32\ctfmon.exe
C:\jetsuite\JETSTAT.EXE
C:\Program Files\Fichiers communs\efax\dllcmd32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
c:\jetsuite\JSFMAN.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Etat de HP LaserJet 3150.lnk = C:\jetsuite\JETSTAT.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Live Menu.lnk = C:\Program Files\Fichiers communs\efax\dllcmd32.exe
O4 - Global Startup: Register.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\Register.exe
O4 - Global Startup: Wallpaper Changer.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
O4 - Global Startup: WPChanger.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Utilisateur anonyme · Answer

Tu refait navilog mais en mode sans echec.Post le rapport.

3an83 · Answer

Voici le rapport avec navilog:

Search Navipromo version 2.0.8 commencé le 09/09/2007 à 21:56:22,12
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Executé en mode sans échec

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***







*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/09/07 at 21:56:28.
[-] ERROR: F-Secure BlackLight cannot be used in safe mode.
[+] Exited on 09/09/07 at 21:56:28 (return code = 3).


*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
HKEY_USERS\S-1-5-21-507921405-1078081533-725345543-1006\Software\Lanconfig trouvé !  


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32\jarljhul.dat trouvé !
** 
C:\WINDOWS\system32\jarljhul.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\jarljhul_navps.dat trouvé !
***** 
C:\WINDOWS\system32\jarljhul_nav.dat trouvé !
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Recherche avec GenericNaviSearch Beta ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

C:\WINDOWS\system32\bqratxwjz.exe trouvé !
C:\WINDOWS\system32\cdvyej.exe trouvé !
C:\WINDOWS\system32\kcgktut.exe trouvé !
C:\WINDOWS\system32
nvxviit.exe trouvé !
C:\WINDOWS\system32\ofiqcwj.exe trouvé !
C:\WINDOWS\system32\opusqv.exe trouvé !
C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
C:\WINDOWS\system32dfytaamw.exe trouvé !
C:\WINDOWS\system32obbwui.exe trouvé !
C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
C:\WINDOWS\system32\vvexvov.exe trouvé !


*** Analyse Terminé le 09/09/2007 à 21:57:14,07 ***


J'ai également fait un scan en ligne avec bitdefender, et le résultat est le suivant:

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Sun, Sep 09, 2007 - 21:49:24
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 01:43:03
 
Fichiers
 513219
 
Directoires
 9084
 
Secteurs de boot
 5
 
Archives
 117945
 
Paquets programmes
 16129
 
  
  
 
Résultats
 
Virus identifiés
 6
 
Fichiers infectés
 13
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 13
 
  
  
 
Info sur les moteurs
 
Définition virus
 800249
 
Version des moteurs
 AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 7
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\WINDOWS\system32\jarljhul.exe
 Infecté par: Trojan.Skintrim.AQH
 
C:\WINDOWS\system32\jarljhul.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\jarljhul.exe
 Supprimé
 
C:\WINDOWS\system32\spqafiny.exe
 Infecté par: Trojan.Skintrim.LX
 
C:\WINDOWS\system32\spqafiny.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\spqafiny.exe
 Supprimé
 
C:\WINDOWS\system32\xtvfyjx.exe
 Infecté par: Trojan.Skintrim.ADN
 
C:\WINDOWS\system32\xtvfyjx.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\xtvfyjx.exe
 Supprimé
 
D:\AAA - Mes documents\0 - David\MSN\messengerskinner.exe
 Détecté avec: Adware.Navipromo.BYD
 
D:\AAA - Mes documents\0 - David\MSN\messengerskinner.exe
 Echec de la désinfection
 
D:\AAA - Mes documents\0 - David\MSN\messengerskinner.exe
 Supprimé
 
D:\System Volume Information\_restore{85361B51-E3D2-4150-9DE1-A231277EACB7}\RP290\A0035699.exe
 Détecté avec: Adware.Navipromo.BYD
 
D:\System Volume Information\_restore{85361B51-E3D2-4150-9DE1-A231277EACB7}\RP290\A0035699.exe
 Echec de la désinfection
 
D:\System Volume Information\_restore{85361B51-E3D2-4150-9DE1-A231277EACB7}\RP290\A0035699.exe
 Supprimé
 
F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique (1).dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Détecté avec: Adware.BrilliView.A
 
F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique (1).dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Echec de la désinfection
 
F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique (1).dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Supprimé
 
F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique (1).dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
 Echec de la mise à jour
 
F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique.dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Détecté avec: Adware.BrilliView.A
 
F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique.dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Echec de la désinfection
 
F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique.dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Supprimé
 
F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique.dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
 Echec de la mise à jour
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc201.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Détecté avec: Adware.BrilliView.A
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc201.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Echec de la désinfection
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc201.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Supprimé
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc201.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
 Echec de la mise à jour
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc278.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Détecté avec: Adware.BrilliView.A
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc278.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Echec de la désinfection
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc278.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Supprimé
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc278.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
 Echec de la mise à jour
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc365.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Détecté avec: Adware.BrilliView.A
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc365.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Echec de la désinfection
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc365.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Supprimé
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc365.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
 Echec de la mise à jour
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc446.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Détecté avec: Adware.BrilliView.A
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc446.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Echec de la désinfection
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc446.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Supprimé
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc446.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
 Echec de la mise à jour
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc525.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Détecté avec: Adware.BrilliView.A
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc525.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Echec de la désinfection
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc525.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
 Supprimé
 
F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc525.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
 Echec de la mise à jour
 
F:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HF3GSYQR	eller2[1].htm
 Infecté par: Trojan.Small.AAA
 
F:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HF3GSYQR	eller2[1].htm
 Echec de la désinfection
 
F:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HF3GSYQR	eller2[1].htm
 Supprimé

Utilisateur anonyme · Answer

Désactiver restauration 

il faut la désactiver 
pour ça tu fais clic droit sur poste de travail 
propriété tu clique sur onglet restauration système 
tu coche la case désactiver la restauration et applique 
-------------- 
demarre en mode sans echec  et execute les 3 programmes
pour cela tu tapote la touche f8 
des le debut de l allumage du pc sans t arreter 
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec 
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5 
Une fois les programmes executes reactiver la restauration
================================================================================
Telecharge.clic sur le lien.
https://www.emsisoft.com/fr/home/antimalware/
Fait une mise a jour et supprime tout ce qu’il trouve.Colle un rapport.
==================================================================================
* Ad-Aware 

Téléchargement : 
ad aware 
Le patch en Français pour Ad-Aware (gratuit) : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html 
Tuto : 
http://perso.orange.fr/entraide-hijackthis/AdAware/AdAware.htm 

* Spybot : 

Téléchargement : 
spybot 
voir demo d utilisation (merci Balltrap) 
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm 

Met les à jour comme indiqués (voir les démos), et lance les en mode sans echec.Vire tout ce qu'ils te trouvent et ça devrait être bon.

A mon tour d'être infecté par spyware-secure

17 réponses

Discussions similaires

Newsletters