Virus "Nettoyeur de PC" !!!!Fermé

Question

Bonjour,
J'ai depuis hier soir une page qui s'affiche tout le temps, à propos du nettoyeur de pc. Le fond d'écran de mon bureau a été remplacé par une image rouge me disant "Your privacy is in danger". Mon gestionnaire des tâches a été désactivé, ce qui fait que je ne peux même pas tenter d'arrêter le processus s'il y en a un.
J'ai vu que ce sujet avait été posté par plusieurs autres personnes, mais comme à chaque fois dans les réponses il faut poster des rapports, je crée mon topic, ça sera plus simple...

Est-ce que vous pourriez m'aider ?

Merci beaucoup d'avance

Yesbut

Yesbutno · Answer

J'ai installé Navilog comme indiqué sur les autres sujets, et j'ai lancé la recherche, je vous poste le rapport dès que c'est fini.

Kokliko · Answer

Bonjour,

Je te contacte juste pour te dire que j'ai entendu parler de cela sur le site 01.net/telecharger.com.
Je vais essayer de retrouver l'article et de te donner le lien qui te permettra d'y acceder pour voir la démarche à adopter car, si ma mémoire est bonne, il s'agit d'un vilain petit canard qui te fiche le souk dans la machine et t'empêche même d'accéder à tes dossiers et autres fichiers.

A+

Kokliko · Answer

Re,

Je te mets un sur des articles qui sont susceptibles d'être intéressants pour ton problème.

http://www.01net.com/rubrique/3373.html

J'espère que tu trouveras un élément de réponse dedans.

A+

Yesbutno · Answer

Merci je vais aller voir,
En attendant, je poste le premier rapport de Navilog, en attendant l'avis des experts de ce forum pour savoir si je continue ou pas (il est bien expressément indiqué de ne pas continuer le truc numéro 2 sans avoir l'avis de gens qui s'y connaissent)

Search Navipromo version 3.3.8 commencé le 29/12/2007 à 10:37:46,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Valou\application data" *** 

...\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32
xqgqa.dat
C:\WINDOWS\system32
xqgqa.exe
C:\WINDOWS\system32
xqgqa_nav.dat
C:\WINDOWS\system32
xqgqa_navps.dat



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

rxpubfqsw.exe trouvé ! 
gianrga.exe trouvé ! 
gianrga.dat trouvé ! 
gianrga_nav.dat trouvé ! 
gianrga_navps.dat trouvé ! 
kjdcgse.exe trouvé ! 
lllkbmcz.exe trouvé ! 
lllkbmcz.dat trouvé ! 
lllkbmcz_nav.dat trouvé ! 
lllkbmcz_navps.dat trouvé ! 
lpkwzjxz.exe trouvé ! 
nwebwcs.exe trouvé ! 
qasryqp.exe trouvé ! 
qasryqp.dat trouvé ! 
qasryqp_nav.dat trouvé ! 
qasryqp_navps.dat trouvé ! 
xmqiuijxp.exe trouvé ! 

* Recherche dans "C:\Documents and Settings\Valou\local settings\application data" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

gianrga.dat trouvé !
lllkbmcz.dat trouvé !
nxqgqa.dat trouvé !
qasryqp.dat trouvé !
gianrga_nav.dat trouvé !
lllkbmcz_nav.dat trouvé !
nxqgqa_nav.dat trouvé !
qasryqp_nav.dat trouvé !

* Dans "C:\Documents and Settings\Valou\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 29/12/2007 à 10:52:25,53 ***

noctambule28 · Answer

salut

belle collection !!

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

puis

  Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.  

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


    Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
                  http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm 


a+

Yesbutno · Answer

Merci beaucoup
A vrai dire, c'est lordi de mon petit frère donc bon, lui question nettoyage et cochonneries.....

J'ai terminé l'étape 2 avec navilog, je poste le rapport ou seulement celui que je vais avoir avec HijackThis ?

Yesbutno · Answer

Je poste le rapport quand même, comme ça... 

Clean Navipromo version 3.3.8 commencé le 29/12/2007 à 11:33:04,00

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique 


*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"

Copie C:\WINDOWS\system32
xqgqa.dat réalisée avec succès ! 
Copie C:\WINDOWS\system32
xqgqa.exe réalisée avec succès ! 
Copie C:\WINDOWS\system32
xqgqa_nav.dat réalisée avec succès ! 
Copie C:\WINDOWS\system32
xqgqa_navps.dat réalisée avec succès ! 

*** Suppression des fichiers trouvés avec Catchme ***

C:\WINDOWS\system32
xqgqa.dat supprimé ! 
C:\WINDOWS\system32
xqgqa.exe supprimé ! 
C:\WINDOWS\system32
xqgqa_nav.dat supprimé ! 
C:\WINDOWS\system32
xqgqa_navps.dat supprimé ! 
 
** 2ème passage avec résultats Catchme ** 

* Dans C:\WINDOWS\system32 *


C:\WINDOWS\prefetch
xqgqa*.pf trouvé ! 
Copie C:\WINDOWS\prefetch
xqgqa*.pf réalisée avec succès !
C:\WINDOWS\prefetch
xqgqa*.pf supprimé !

* Dans "C:\Documents and Settings\Valou\local settings\application data" * 


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

rxpubfqsw.exe trouvé !
Copie rxpubfqsw.exe réalisée avec succès !
rxpubfqsw.exe supprimé !

gianrga.exe trouvé !
Copie gianrga.exe réalisée avec succès !
gianrga.exe supprimé !

gianrga.dat trouvé !
Copie gianrga.dat réalisée avec succès !
gianrga.dat supprimé !

gianrga_nav.dat trouvé !
Copie gianrga_nav.dat réalisée avec succès !
gianrga_nav.dat supprimé !

gianrga_navps.dat trouvé !
Copie gianrga_navps.dat réalisée avec succès !
gianrga_navps.dat supprimé !

kjdcgse.exe trouvé !
Copie kjdcgse.exe réalisée avec succès !
kjdcgse.exe supprimé !

lllkbmcz.exe trouvé !
Copie lllkbmcz.exe réalisée avec succès !
lllkbmcz.exe supprimé !

lllkbmcz.dat trouvé !
Copie lllkbmcz.dat réalisée avec succès !
lllkbmcz.dat supprimé !

lllkbmcz_nav.dat trouvé !
Copie lllkbmcz_nav.dat réalisée avec succès !
lllkbmcz_nav.dat supprimé !

lllkbmcz_navps.dat trouvé !
Copie lllkbmcz_navps.dat réalisée avec succès !
lllkbmcz_navps.dat supprimé !

lpkwzjxz.exe trouvé !
Copie lpkwzjxz.exe réalisée avec succès !
lpkwzjxz.exe supprimé !

nwebwcs.exe trouvé !
Copie nwebwcs.exe réalisée avec succès !
nwebwcs.exe supprimé !

qasryqp.exe trouvé !
Copie qasryqp.exe réalisée avec succès !
qasryqp.exe supprimé !

qasryqp.dat trouvé !
Copie qasryqp.dat réalisée avec succès !
qasryqp.dat supprimé !

qasryqp_nav.dat trouvé !
Copie qasryqp_nav.dat réalisée avec succès !
qasryqp_nav.dat supprimé !

qasryqp_navps.dat trouvé !
Copie qasryqp_navps.dat réalisée avec succès !
qasryqp_navps.dat supprimé !

xmqiuijxp.exe trouvé !
Copie xmqiuijxp.exe réalisée avec succès !
xmqiuijxp.exe supprimé !


* Suppression dans "C:\Documents and Settings\Valou\local settings\application data" * 



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression... 
C:\Program Files\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Valou\application data" *** 

...\MessengerSkinner ...suppression... 
...\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Valou\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Valou\local settings\application data" * 


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 29/12/2007 à 11:38:09,66 ***

Yesbutno · Answer

Voilà le rapport d'Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:45:05, on 29/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32	p4mon.exe
C:\WINDOWS\system32undll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Pando Networks\Pando\Pando.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\IBM\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.incredimail.com/page.asp?page=reg_success&lang=12&version=5653034&setup_id=12000007&aff_id=1&addon=IncrediMail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BDEX System - {0B1B0622-6874-4751-B866-87C5CA1B93B9} - C:\WINDOWS\blopenvwsd.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.7.4.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: The ddxbox - {18D19587-63A8-4D24-B79D-267E8A3AB0BF} - C:\WINDOWSetnsrp.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://yesbutland.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O21 - SSODL: leorop - {E638FE78-D354-466E-B342-6C9A92BA5E22} - (no file)
O21 - SSODL: nopzet - {1AFD1998-D342-464B-9949-E02E6FFDB376} - C:\WINDOWS
opzet.dll
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

noctambule28 · Answer

il vaut mieux le rapport, ça permet de voir si tout disparait

nous continuons

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Tuto
http://mickael.barroux.free.fr/securite/clean.php
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

a+

Yesbutno · Answer

Alors, j'ai installé clean, lancé le logiciel etc..., seulement je n'ai pas de rapport : il fait la recherche, et après me demande d'uploader un fichier ... Que dois-je faire ?

Yesbutno · Answer

Si en fait j'ai trouvé.

Voici le rapport : 
 29/12/2007 a 12:40:25,79 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\Fichiers communs\WhenU\" FOUND 


Normal qu'il soit si petit ?

noctambule28 · Answer

normal, enfin presque, il aurait pu etre encore plus petit

Redémarre ton PC en mode sans échec :
Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, envoie le moi dans ta prochaine réponse !

il restera des chose  à faire ensuite, mais il faut aussi que je lise ton hijackthis

a+

Yesbutno · Answer

J'ai lancé clean (un peu de mal à démarrer en sans échec, car sur l'IBM c'est pas sur F8 qu'il faut appuyer, mais sur le bouton d'IBM et j'ai réussi en tripotant un peu tout à tomber sur le mode sans échec par le plus grand des hasards...) Je te poste le rapport dès que Clean a fini.

Yesbutno · Answer

Voici le rapport :

(Obligée de te l'envoyer d'un autre pc vu qu'en mode sans échec je n'ai pas internet apparemment, et je ne savais pas si je pouvais redémarrer le pc normalement ou pas donc...)

Script execute en mode sans echec
Rapport Clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 29/12/2007 a 13:57:30,35

Microsoft Windows CP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\program Files\Fichiers communs\whenU\"

*** Suppression des clefs du registre effectuee...

noctambule28 · Answer

la suite

Télécharge BTFix 1.017 (de bibi26)
http://cluster1.easy-hebergement.net/

* Décompresse l'archive sur ton Bureau
* Ouvre le dossier BTFix
* Double clique sur BTFix.exe
* Clique sur Rechercher
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse

Si tu vois une infection tu continues



* Démarre l'ordinateur.
* Une fois le chargement du BIOS terminé, il y a un écran noir.
* Appuie sur la touche F8 ou F5, à répétition jusqu'à l'affichage du menu des options avancées de Windows.
* En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuie sur Entrée.
* Choisis ton compte usuel et non Administrateur.

* Ouvre BTFix
* Clique sur "Nettoyer"
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse

ainsi qu'un nouvel hijackthis

a+

Yesbutno · Answer

Voilà le rapport de BTFix :
BTFix 1.066 (par bibi26) - 29/12/2007 15:05:48 - Analyse
Lancé depuis C:\Documents and Settings\Valou\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

 - C:\Program Files\DAEMON Tools SearchBar

---> Analyse terminée

Je continue alors...

noctambule28 · Answer

oui, il faut continuer

repost un hijackthis

Yesbutno · Answer

Rapport BTFix : 

BTFix 1.066 (par bibi26) - 29/12/2007 15/17/45 - Nettoyage - Mode sans échec
Lancé depuis C:\Documents and settings\Valou\Bureau\BTFix\BTFix\BTFix.exe

----> Fichiers\dossiers supprimés

  - Fichiers temporaires effacés
  - C:\Program Files\DAEMON Tools SearchBar

----> Nettoyage terminé

Yesbutno · Answer

Rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:38, on 29/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.incredimail.com/page.asp?page=reg_success&lang=12&version=5653034&setup_id=12000007&aff_id=1&addon=IncrediMail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BDEX System - {0B1B0622-6874-4751-B866-87C5CA1B93B9} - C:\WINDOWS\blopenvwsd.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.7.4.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: The ddxbox - {18D19587-63A8-4D24-B79D-267E8A3AB0BF} - C:\WINDOWSetnsrp.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://yesbutland.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O21 - SSODL: leorop - {E638FE78-D354-466E-B342-6C9A92BA5E22} - (no file)
O21 - SSODL: nopzet - {1AFD1998-D342-464B-9949-E02E6FFDB376} - C:\WINDOWS
opzet.dll
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

noctambule28 · Answer

bon

Commence par télécharger ComboFix ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Et enregistre le sur le bureau.
Regardes ici, si tu souhaites te familiariser avec son utilisation:
http://mickael.barroux.free.fr/securite/combofix.php

Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.
En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse faire.

Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

/!\ Pendant toute la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme et ne surfe pas sur le net.

Yesbutno · Answer

Je viens de voir que la dernière ligne du rapport m'indique l'emplacement du fichier qui me pourrit mon bureau, je peux le supprimer, ou je laisse ?

noctambule28 · Answer

tu parle du rapport combofix?

post le , car c'est un peu compliqué des fois à supprimer les fichiers

Yesbutno · Answer

Nan nan dans le dernier Hijackthis que j'ai posté !

Yesbutno · Answer

Rapport ComboFix : ComboFix 07-12-21.4 - Valou 2007-12-29 16:09:24.1 - NTFSx86 MINIMAL Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.379 [GMT 1:00] Running from: C:\Documents and Settings\Valou\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\dat.txt C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm C:\WINDOWS\rs.txt C:\WINDOWS\search_res.txt . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-29 )))))))))))))))))))))))))))))))))))) . 2007-12-29 12:40 . 2007-12-29 12:40 17,773,720 --a------ C:\upload_moi_VALOU.tar.gz 2007-12-29 11:44 . 2007-12-29 11:44 d-------- C:\Program Files\Trend Micro 2007-12-29 10:36 . 2007-12-29 11:38 d-------- C:\Program Files\Navilog1 2007-12-22 16:32 . 2007-12-22 16:32 661 --a------ C:\WINDOWS\eReg.dat 2007-12-22 16:29 . 2007-12-22 16:26 737,280 --a------ C:\WINDOWS\iun6002.exe 2007-12-22 16:27 . 2007-12-22 16:27 d-------- C:\Program Files\EA GAMES 2007-12-22 09:14 . 1998-10-07 14:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe 2007-12-20 18:20 . 2007-12-20 18:20 d-------- C:\Program Files\uTorrent 2007-12-19 20:49 . 2006-10-05 03:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-12-19 20:49 . 2006-10-05 03:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-12-19 20:47 . 2007-12-19 20:49 d-------- C:\Program Files\Picasa2 2007-12-16 20:20 . 2007-12-16 20:20 d-------- C:\Program Files\WebAnim Gif 2007-12-15 14:37 . 2007-12-15 11:41 270,336 --a------ C:\WINDOWS\nopzet.dll 2007-12-15 14:37 . 2007-12-15 11:42 253,952 --a------ C:\WINDOWS\blopenvwsd.dll 2007-12-15 14:37 . 2007-12-15 11:42 200,704 --a------ C:\WINDOWS\retnsrp.dll 2007-12-15 14:37 . 2007-12-15 11:42 143,360 --a------ C:\WINDOWS\jokvip.exe 2007-12-15 14:35 . 2007-12-15 14:35 d-------- C:\Program Files\SmartVideoCodec 2007-12-12 19:20 . 2007-12-15 14:33 d-------- C:\Program Files\Mu~Intensity 2007-12-04 07:15 . 2007-12-04 07:15 d-------- C:\Program Files\iPod 2007-12-04 07:15 . 2007-12-29 14:53 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-04 07:15 . 2007-12-04 07:16 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-04 07:14 . 2007-12-04 07:15 d-------- C:\Program Files\iTunes 2007-12-04 07:13 . 2007-12-04 07:14 d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple Computer 2007-12-04 07:11 . 2007-12-04 07:11 d-------- C:\Program Files\Apple Software Update 2007-12-04 07:10 . 2007-12-04 07:10 d-------- C:\Program Files\Fichiers communs\Apple 2007-12-01 19:17 . 2007-12-01 19:17 33 --a------ C:\WINDOWS\Multimedia manager.INI . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-28 23:33 --------- d-----w C:\Documents and Settings\Valou\Application Data\uTorrent 2007-12-27 21:35 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Google Updater 2007-12-22 15:26 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-17 06:13 --------- d-----w C:\Program Files\eMule 2007-12-04 06:16 --------- d-----w C:\Documents and Settings\Valou\Application Data\Apple Computer 2007-12-04 06:14 --------- d-----w C:\Program Files\QuickTime 2007-11-25 18:05 --------- d-----w C:\Program Files\BitComet 2007-11-15 21:38 352 ----a-w C:\Documents and Settings\Valou\Application Data\filterclsid.dat 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-11 18:17 --------- d--h--w C:\Program Files\Fichiers communs\Carlson 2007-11-11 17:34 --------- d-----w C:\Documents and Settings\Valou\Application Data\Grisoft 2007-11-11 17:33 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft 2007-11-09 06:22 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-11-08 17:46 --------- d-----w C:\Program Files\MP3Gain 2007-11-07 19:10 --------- d-----w C:\Program Files\Windows Live 2007-11-07 19:10 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition 2007-11-07 19:07 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-11-07 19:07 --------- d-----w C:\Program Files\MSN Messenger 2007-11-07 18:57 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\WLInstaller 2007-11-04 17:54 --------- d-----w C:\Program Files\Pando Networks 2007-10-31 06:57 --------- d-----w C:\Program Files\Metin2_France 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll 2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR 2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B1B0622-6874-4751-B866-87C5CA1B93B9}] 2007-12-15 11:42 253952 --a------ C:\WINDOWS\blopenvwsd.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {18D19587-63A8-4D24-B79D-267E8A3AB0BF} [HKEY_CLASSES_ROOT\clsid\{18d19587-63a8-4d24-b79d-267e8a3ab0bf}] [HKEY_CLASSES_ROOT\ddxbox.ToolBar.1] [HKEY_CLASSES_ROOT\TypeLib\{825E7161-BE15-409D-9EBA-933AABCFD317}] [HKEY_CLASSES_ROOT\ddxbox.ToolBar] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 12:24] "Pando"="C:\Program Files\Pando Networks\Pando\Pando.exe" [2007-10-05 12:33] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TrackPointSrv"="tp4mon.exe" [2004-08-19 17:10 C:\WINDOWS\system32\tp4mon.exe] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 15:10 C:\WINDOWS\system32\bthprops.cpl] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-25 21:00] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-12 13:39] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 16:42] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-11-14 23:43] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-15 13:11] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09] C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\ BTTray.lnk - C:\Program Files\IBM\Bluetooth Software\BTTray.exe [2004-01-20 18:15:12] Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe [2006-02-13 14:52:23] Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-01-22 18:31:42] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\[u]0[/u]] Source= file:///C:\WINDOWS\privacy_danger\index.htm FriendlyName= Privacy Protection [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "nopzet"= {1AFD1998-D342-464B-9949-E02E6FFDB376} - C:\WINDOWS\nopzet.dll [2007-12-15 11:41 270336] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [] S3 GcKernel;Pilote de filtre Microsoft SideWinder Value Add;C:\WINDOWS\system32\DRIVERS\GcKernel.sys [2004-08-03 23:08] S3 HIDSwvd;Minipilote de périphérique Microsoft SideWinder HID virtuel;C:\WINDOWS\system32\DRIVERS\HIDSwvd.sys [2001-08-17 22:02] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 16:57] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 16:58] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 16:59] S3 U2SP;USB to Serial Converter Driver(Philips);C:\WINDOWS\system32\DRIVERS\u2s2kxp.sys [2003-05-14 10:29] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - E:\AUTORUN.EXE *Newly Created Service* - CATCHME . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-12-12 14:51:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-29 16:11:54 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-29 16:12:49 . 2007-12-22 07:27:22 --- E O F ---

noctambule28 · Answer

ok, 


de quel fichier parlais tu ,

d'autre part combofix, est un peu compliqué(j'ai  pas l'habitude encore avec), et je ne voudrais pas faire de betises, donc je vais essayer de retirer ce qui reste autrement, ( mais au moins les ficj=hiers à supprimer sont visibles)


Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
ou
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

Yesbutno · Answer

SmitFraudFix v2.274

Rapport fait à 16:56:12,10, 29/12/2007
Executé à partir de C:\Documents and Settings\Valou\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\blopenv???.dll PRESENT !
C:\WINDOWS\jokvip.exe PRESENT !
C:\WINDOWS
opzet.dll PRESENT !
C:\WINDOWSetnsrp.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Valou


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Valou\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Valou\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FCB2D399-3734-4BF1-95D2-F5FB8240D17A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FCB2D399-3734-4BF1-95D2-F5FB8240D17A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FCB2D399-3734-4BF1-95D2-F5FB8240D17A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

noctambule28 · Answer

ça devrait marcher comme ça

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

Yesbutno · Answer

SmitFraudFix v2.274

Rapport fait à 17:16:41,14, 29/12/2007
Executé à partir de C:\Documents and Settings\Valou\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\blopenv???.dll supprimé
C:\WINDOWS\jokvip.exe supprimé
C:\WINDOWS
opzet.dll supprimé
Deleting [HKEY_CLASSES_ROOT\CLSID\{1AFD1998-D342-464B-9949-E02E6FFDB376}]
C:\WINDOWSetnsrp.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FCB2D399-3734-4BF1-95D2-F5FB8240D17A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FCB2D399-3734-4BF1-95D2-F5FB8240D17A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FCB2D399-3734-4BF1-95D2-F5FB8240D17A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

noctambule28 · Answer

ok, ce qui etait visible est parti

tu as encore des soucis ?

et repost un hijackthis pour verifier

Yesbutno · Answer

j'essaye de redémarrer le pc en mode normal, je te dis ça.

En tout cas merci beaucoup beaucoup !!! Une vraie saloperie ce truc !

Yesbutno · Answer

Nickel, tout est revenu dans l'ordre, merci beaucoup.

De tous les logiciels que j'ai installé, lequel dois-je garder ?

noctambule28 · Answer

tous

d'ailleurs, c'est un utilitaire qui le fait

        * Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

    http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

        * Clique sur Recherche et laisse le scan se terminer.


        * Clique, sur Suppression pour finaliser.


        * Tu peux, si tu le souhaites, te servir des Options facultatives.


        * Clique sur Quitter, pour que le rapport puisse se créer.


        * Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


ensuite je te donne un kit de nettoyage 


* Supprime regulierement les fichiers inutiles (fichiers temporaire , cookies .. ect) a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/



* Utiliser le navigateur Mozzilla il est plus sure http://www.mozilla-europe.org/fr/products/firefox/

-Maintenant que ton ordinateur est propre je te conseille de creer un point de restauration comme ca en cas de probleme (virus , plantage ..ect) tu poura tjr revenir en arriere

desactive les restauaration du systeme

demarrer->clic droit sur poste de travail puis propriété

dans l'onglet restauration du system coche desactiver la restauration du systeme, puis appliquer(en bas à droite)


puis decoche, desactiver la restauratiton du systeme, et appliquer



Ps : les liens

Antispywares et autres :

*Ad-Aware (gratuit)
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Tuto :
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

*Spybot (gratuit) :
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
voir demo d utilisation (merci Balltrap)
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

* AVG AS

AVG anti spyware
https://www.01net.com/telecharger/
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo ! 

voila , tu devrais etre paré

Yesbutno · Answer

-->- Recherche: 

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users.WINDOWS\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Valou\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Valou\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Valou\Bureau\Clean: trouvé !
C:\Documents and Settings\Valou\Bureau\MsnFix: trouvé !
C:\Documents and Settings\Valou\Bureau\Btfix: trouvé !
C:\Documents and Settings\Valou\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Valou\Bureau\BTFix\Btfix: trouvé !
C:\Documents and Settings\Valou\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\qoobox\Quarantine\C\Combofix: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users.WINDOWS\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Valou\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Valou\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Valou\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\Valou\Bureau\Clean: supprimé !
C:\Documents and Settings\Valou\Bureau\MsnFix: supprimé !
C:\Documents and Settings\Valou\Bureau\Btfix: supprimé !
C:\Documents and Settings\Valou\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

noctambule28 · Answer

bon, tu peux supprimer toolscleaner

pense au point de restauration, 

le reste tu le fais quand tu veux ( et de temps en temps)


installes un pare feu, celui de windows n'est pas suffisant
ZoneAlarm
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

un tuto pour le configurer
https://www.pcastuces.com/pratique/securite/firewall2/firewall.htm


ou

Kerio
http://www.commentcamarche.net/telecharger/telecharger 206 kerio
plus leger que zone alarm
un tuto
http://www.malekal.com/kerio_firewall.php


voila , ça doit etre bon

Virus "Nettoyeur de PC" !!!!

34 réponses

Newsletters