Infecter par MUSE et autresFermé

Question

Bonjour A tous.
Je suis en train de désinfecter le portable d'une amie qui est infecter par WIN32 MUSE, je me suis renseigner un peu sur le sujet et ca a pas l'air simple. Pouvez vous m'aider a assainir son PC. pour vous aider je vous envoie un rapport HIjack.
A tres bientot merci d'avance. 


Logfile of HijackThis v1.99.1
Scan saved at 15:17:33, on 17/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/APPS/IE/offline/fr.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8DBDBC3-7E26-4039-8C12-C76D71FE7718}: NameServer = 192.168.112.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

jlpjlp · Answer

slt,


Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Pierrot36 · Answer

Merci,
Chose faite.
Voici le rapport.


Search Navipromo version 3.3.8 commencé le 17/12/2007 à 15:56:27,90

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\joré vanessa\application data" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\joré vanessa\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\joré vanessa\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 17/12/2007 à 15:59:54,75 ***

Merci encore pour la suite

jlpjlp · Answer

installer la nouvelle version java:

https://www.java.com/fr/

__________________

quels fichiers sont inféctés?  si tu sais...

_____________


AVG antispyware

https://www.01net.com/telecharger/

Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


->Relance AVG AS -> "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici



______________

 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm

scan en ligne firefox
	
https://www.trendmicro.com/fr_fr/business.html

pierrot36 · Answer

Voici le scan avg --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 18:08:05 17/12/2007 + Résultat de l'analyse: HKU\S-1-5-21-1394489552-1641057048-2297629096-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> Adware.2020Search : Nettoyé et sauvegardé (mise en quarantaine). HKU\S-1-5-21-1394489552-1641057048-2297629096-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> Adware.2020Search : Nettoyé et sauvegardé (mise en quarantaine). HKLM\SOFTWARE\Classes\Softomate.IEToolbar -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine). HKLM\SOFTWARE\Classes\Softomate.IEToolbar.1 -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine). HKLM\SOFTWARE\Classes\Softomate.IEToolbar\CLSID -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine). HKLM\SOFTWARE\Classes\Softomate.IEToolbar\CurVer -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP196\A0043108.exe -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\JPGimage17.zip/JPGimage17.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\JPGimage26.zip/JPGimage26.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\JPGimage29.zip/JPGimage29.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\JPGimage56.zip/JPGimage56.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\JPGimage62.zip/JPGimage62.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\JPGimage65.zip/JPGimage65.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\JPGimage8.zip/JPGimage8.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\JPGimage86.zip/JPGimage86.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme0.zip/downloadme0.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme27.zip/downloadme27.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme30.zip/downloadme30.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme42.zip/downloadme42.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme63.zip/downloadme63.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme66.zip/downloadme66.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme75.zip/downloadme75.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme81.zip/downloadme81.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme84.zip/downloadme84.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\downloadme96.zip/downloadme96.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\file52.zip/file52.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\file61.zip/file61.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\file82.zip/file82.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\file85.zip/file85.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files13.zip/files13.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files16.zip/files16.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files37.zip/files37.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files4.zip/files4.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files52.zip/files52.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files64.zip/files64.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files67.zip/files67.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files7.zip/files7.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files85.zip/files85.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files88.zip/files88.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\files91.zip/files91.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\look12.zip/look12.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\look27.zip/look27.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\look36.zip/look36.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\look54.zip/look54.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\look66.zip/look66.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\look78.zip/look78.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\look90.zip/look90.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS ews11.zip/news11.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS ews14.zip/news14.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS ews2.zip/news2.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS ews20.zip/news20.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS ews47.zip/news47.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS ews74.zip/news74.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS ews8.zip/news8.scr -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\directxd.exe -> Backdoor.IRCBot.bal : Nettoyé et sauvegardé (mise en quarantaine). C:\Documents and Settings\joré vanessa\Cookies\joré_vanessa@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé. C:\Documents and Settings\joré vanessa\Cookies\joré_vanessa@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Nettoyé. C:\Documents and Settings\joré vanessa\Cookies\joré_vanessa@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé. C:\Documents and Settings\joré vanessa\Cookies\joré_vanessa@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé. C:\Documents and Settings\joré vanessa\Cookies\joré_vanessa@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé. C:\Documents and Settings\joré vanessa\Cookies\joré_vanessa@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé. C:\Documents and Settings\joré vanessa\Mes documents\Mes programmes\Winace Winrar Winzip Winiso Password & Cracker(1).zip/WinISO/WinISO_crk.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\Documents and Settings\joré vanessa\Mes documents\Mes programmes\Winace Winrar Winzip Winiso Password & Cracker(1)\WinISO\WinISO_crk.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP240\A0054256.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine). Fin du rapport Pour les scan en ligne : Panda n'a rien touver et voici celui de bitdefender avec un echec de quelques mise a jour BitDefender Online Scanner - Rapport d'analyse

BitDefender Online Scanner

Rapport d'analyse généré à: Mon, Dec 17, 2007 - 21:15:26

Voie d'analyse: C:\;D:\;

Statistiques
Temps	00:42:46
Fichiers	114512
Directoires	5408
Secteurs de boot	3
Archives	6367
Paquets programmes	132

Résultats
Virus identifiés	0
Fichiers infectés	0
Fichiers suspects	1
Avertissements	0
Désinfectés	0
Fichiers effacés	1

Info sur les moteurs
Définition virus	32006
Version des moteurs	AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins	2
Archive des plugins	10
Unpack des plugins	3
E-mail plugins	1
Système plugins	1

Paramètres d'analyse
Première action	Désinfecté
Seconde Action	Supprimé
Heuristique	Oui
Acceptez les avertissements	Oui
Extensions analysées	*;
Excludez les extensions
Analyse d'emails	Oui
Analyse des Archives	Oui
Analyser paquets programmes	Oui
Analyse des fichiers	Oui
Analyse de boot	Oui

Fichier analysé	Statut
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP246\A0054498.exe	Suspecté de: BehavesLike:Trojan.ShellObject
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP246\A0054498.exe	Echec de la désinfection
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP246\A0054498.exe	Supprimé

Merci de l'analyse et dela réponse

jlpjlp · Answer

slt le rapport bitdefender n'est pas bon,
il me faut le rapport avec le noms des virus, des fichiers inféctés et des actions

_______________
puis


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
_____________________

recolle un rapport hijackhtis

pierrot36 · Answer

Merci
Voici les deux rapport:

SD fix :


SDFix: Version 1.118

Run by jor‚ vanessa on 17/12/2007 at 21:45

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\JORVAN~1\Bureau\SDFIXD~1\SDFix

Safe Mode:
Checking Services: 


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files: 

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp

Dummy:
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32	ftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache	ftp.exe 

Files copied to SDFix\Backups 

Restoring files if backups are found
 
Final Check:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32	ftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache	ftp.exe 

Dummy:
 

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINDOWS\system32\Microsoft\backup.ftp  - Deleted
C:\WINDOWS\system32\Microsoft\backup.tftp  - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-17 21:52:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000c552849bd]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000c552849bd]

scanning hidden registry entries ...

scanning hidden files ...

C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\samoncoeur@hotmail.com\SharingMetadata\dasteev@hotmail.com\DFSR\Staging\CS{954EB433-2D0B-2039-39C2-72F91BA97B28}\01\10-{954EB433-2D0B-2039-39C2-72F91BA97B28}-v1-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\samoncoeur@hotmail.com\SharingMetadata\dasteev@hotmail.com\DFSR\Staging\CS{954EB433-2D0B-2039-39C2-72F91BA97B28}\11\11-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v11-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 5898 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\samoncoeur@hotmail.com\SharingMetadata\dasteev@hotmail.com\DFSR\Staging\CS{954EB433-2D0B-2039-39C2-72F91BA97B28}\11\11-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v11-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 648 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\samoncoeur@hotmail.com\SharingMetadata\dasteev@hotmail.com\DFSR\Staging\CS{954EB433-2D0B-2039-39C2-72F91BA97B28}\13\13-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v13-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 7212 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\samoncoeur@hotmail.com\SharingMetadata\dasteev@hotmail.com\DFSR\Staging\CS{954EB433-2D0B-2039-39C2-72F91BA97B28}\13\13-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v13-{E3964A38-E3FF-4E2B-95E5-FED561B6D1B3}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 792 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadata\franck.kosovo@hotmail.fr\DFSR\Staging\CS{3434F084-992A-EAE3-B0E1-0DD647C53DD3}\01\11-{3434F084-992A-EAE3-B0E1-0DD647C53DD3}-v1-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadata\franck.kosovo@hotmail.fr\DFSR\Staging\CS{3434F084-992A-EAE3-B0E1-0DD647C53DD3}\12\12-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v12-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 17292 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadata\franck.kosovo@hotmail.fr\DFSR\Staging\CS{3434F084-992A-EAE3-B0E1-0DD647C53DD3}\12\12-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v12-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 1236 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadata\franck.kosovo@hotmail.fr\DFSR\Staging\CS{3434F084-992A-EAE3-B0E1-0DD647C53DD3}\12\12-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v12-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1944 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\01\13-{EAF65D6C-BB96-40A9-9924-EE74CC174256}-v1-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\14\20-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v14-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v20-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 5790 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\14\20-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v14-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v20-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 648 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\15\19-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v15-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v19-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 5124 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\15\19-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v15-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v19-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 608 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\16\23-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v16-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v23-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 6204 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\16\23-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v16-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v23-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 664 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\17\18-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v17-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v18-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 3324 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\17\18-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v17-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v18-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 376 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\24\26-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v24-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v26-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 11568 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\24\26-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v24-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v26-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1304 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\25\25-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v25-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v25-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 534 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\25\25-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v25-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v25-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 72 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\27\27-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v27-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v27-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 13458 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataomainstef@msn.com\DFSR\Staging\CS{EAF65D6C-BB96-40A9-9924-EE74CC174256}\27\27-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v27-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v27-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1496 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataottdavid33@hotmail.fr\DFSR\Staging\CS{1BDC22FC-A309-E245-4403-CDC6380B4B9A}\01\10-{1BDC22FC-A309-E245-4403-CDC6380B4B9A}-v1-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataottdavid33@hotmail.fr\DFSR\Staging\CS{1BDC22FC-A309-E245-4403-CDC6380B4B9A}\11\11-{EA4F825F-1D22-484F-ACDC-3694716C2801}-v11-{EA4F825F-1D22-484F-ACDC-3694716C2801}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 488 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataottdavid33@hotmail.fr\DFSR\Staging\CS{1BDC22FC-A309-E245-4403-CDC6380B4B9A}\38\38-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v38-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v38-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 13458 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataottdavid33@hotmail.fr\DFSR\Staging\CS{1BDC22FC-A309-E245-4403-CDC6380B4B9A}\38\38-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v38-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v38-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1496 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataottdavid33@hotmail.fr\DFSR\Staging\CS{1BDC22FC-A309-E245-4403-CDC6380B4B9A}\39\39-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v39-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v39-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 534 bytes hidden from API
C:\Documents and Settings\joré vanessa\Local Settings\Application Data\Microsoft\Messenger\vanessjore@hotmail.fr\SharingMetadataottdavid33@hotmail.fr\DFSR\Staging\CS{1BDC22FC-A309-E245-4403-CDC6380B4B9A}\39\39-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v39-{26B75B59-C4AD-4D6C-8678-955F843A6743}-v39-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 72 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 30


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%ProgramFiles%\AOL 9.0\aol.exe"="%ProgramFiles%\AOL 9.0\aol.exe:*:Enabled:AOL"
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"="%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA"
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"="%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe:*:Enabled:PANDORA"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\APPS\Inventime\my.exe"="C:\APPS\Inventime\my.exe:*:Enabled:INVENTIME"
"C:\Program Files\AOL 9.0\waol.exe"="C:\Program Files\AOL 9.0\waol.exe:*:Enabled:AOL 9.0"
"C:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe"="C:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe:*:Disabled:BF1942"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\AOL 9.0\waol.exe"="C:\Program Files\AOL 9.0\waol.exe:*:Enabled:AOL 9.0"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\JORVAN~1\Bureau\SDFIXD~1\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 24 Apr 2005           215 A.SHR --- "C:\BOOT.BAK"
Mon 28 Jun 2004        54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Mon 28 Jun 2004       156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Mon 28 Jun 2004        31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Sat 17 Feb 2007         6,580 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Mon 12 Feb 2007     3,096,576 A..H. --- "C:\Documents and Settings\jor‚ vanessa\Application Data\U3	emp\Launchpad Removal.exe"
Mon 28 Jun 2004       106,496 A..H. --- "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll"

Finished! 

Et HiJack

Logfile of HijackThis v1.99.1
Scan saved at 22:02:30, on 17/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8DBDBC3-7E26-4039-8C12-C76D71FE7718}: NameServer = 192.168.112.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

Merci bien, "C'est un truc de fou"

pierrot36 · Answer

S'il vous plait,
Je suis de retour demain, pourriez vous répondre a mon précédent message svp 
merci par avance

jlpjlp · Answer

Colle le rapport :
Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

·  Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean 
·  Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec 
·  Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.

http://kerio.probb.fr/tuto-Clean-h37.html

___________________

installe un vrai parefeu a la place de celui de windows:

KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm


__________________

remplace avast par antivir et colle un rapport:
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)

Infecter par MUSE et autres

8 réponses

Discussions similaires

Newsletters