VIRUS: déroute l informaticien que je suisRésolu/Fermé

Question

Bonjour,
Des fenetres publiciataires sous ie et mozilla s'ouvrent aléatoirement
Besoin d'aide car j'ai vraiment essayé beaucoup de choses en vain
Merci

Résumé de mes essais: 
desactivation des restaurations, ménages cookies et temp
sans echec , j'ai passé A2, spybot, adware, smithfraufix, stinger
je redemarre et meme pb 
Voici mon log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:36, on 12/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Free\a2service.exe
D:\xampplite\apache\bin\apache.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PVSW\Bin\WGE_SRV.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\PVSW\BIN\W3dbsmgr.EXE
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\Maxtor\Sync\SyncServices.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\xampplite\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
D:\xampplite\apache\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Compal\Smart Battery\SMBTray.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
F:\brice\local settings\application data\hmathbd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
F:\Brice\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\WinRAR\WinRAR.exe
F:\Brice\LOCALS~1\Temp\Rar$EX00.062\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SMBTray] C:\Program Files\Compal\Smart Battery\SMBTray.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [hmathbd] f:\brice\local settings\application data\hmathbd.exe hmathbd
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.fc-franclyonnais.asso.fr
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe (file missing)
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampplite\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
O23 - Service: mysql - Unknown owner - D:\xampplite\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

eZula · Answer

Bonjour,

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

sniper94 · Answer

Salut,

Télécharges navilog ici (prend le navilog1.exe) : http://il.mafioso.pagesperso-orange.fr/Navifix/download.htm

Ensuite quand tu l'aura lancé suit les instructions et au menu choisi l'option 1 puis a la fin il y aura un rapport et colle le ici.

Bricex · Answer

Merci de ton aide

navilog appliqué option 1 et 2 mais le pb persiste
log:

Clean Navipromo version 3.5.7 commencé le 12/05/2008 à 13:14:22,45

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Brice" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "F:\Brice\applic~1\" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "f:\alluse~1\applic~1" ***


*** Suppression dossiers dans "f:\alluse~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "F:\Brice\" *** 


*** Suppression dossiers dans "C:\$RECYCLE.BIN\" *** 


*** Suppression dossiers dans "C:\Boot\" *** 


*** Suppression dossiers dans "C:\CanoScan\" *** 


*** Suppression dossiers dans "C:\Dell\" *** 


*** Suppression dossiers dans "C:\DOCUME~1\" *** 


*** Suppression dossiers dans "C:\DREAMF~1\" *** 


*** Suppression dossiers dans "C:\drivers\" *** 


*** Suppression dossiers dans "C:\Intel\" *** 


*** Suppression dossiers dans "C:\logs\" *** 


*** Suppression dossiers dans "C:\PROGRA~1\" *** 


*** Suppression dossiers dans "C:\PVSW\" *** 


*** Suppression dossiers dans "C:\RECYCLER\" *** 


*** Suppression dossiers dans "C:\RESTOR~1\" *** 


*** Suppression dossiers dans "C:\Temp\" *** 


*** Suppression dossiers dans "C:\WINDOWS\" *** 


*** Suppression dossiers dans "C:\xampp\" *** 


*** Suppression dossiers dans "F:\Brice\applic~1\" *** 


*** Suppression dossiers dans "F:\Brice\progra~1\" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu F:\Brice\applic~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "F:\Brice\applic~1\" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 12/05/2008 à 13:40:09,39 ***

sniper94 · Answer

Ce ne sont pas des pubs cid ?

eZula · Answer

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 4 et valide.

Le fix va te demander de saisir le nom de fichier.
Saisis ce qui est en gras ci-dessous et rien d'autre puis valide:

hmathbd

Le fix va te demander de le resaisir, fais-le et valide

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau

Bricex · Answer

Opération effectuée .... Test en cours

Peux tu me dire ce qu'est hmathbd? 
Merci

IL-MAFIOSO · Answer

Bonjour à tous,

Inutile d'utiliser Navilog1 dans ce cas précis.

Bricex, tu as déplacé tes documents sur une autre partition/disque : le F

Comment l'as tu fais car il y a discordance entre certaines valeurs du registre et tes dossiers ?

Bricex · Answer

en modifiant le profil directory dans la Base de registre et en migrant les comptes system . comment vois tu le conflit?

IL-MAFIOSO · Answer

Les paths récupérés par Navilog1 sont faussés. On le voit bien sur les rapports. Donc Navilog1 ne pourra pas traiter ton cas particulier.

Je suis d'accord avec toi sur la méthode pour le déplacement que tu as fait. 
Par défaut, la variable %userprofile% est %systemdrive%\documents and settings\Brice

Chez toi, %userprofile% est f:\Brice
Il aurait été f:\documents and settings\Brice  ou bien f:\Utilisateurs\Brice ou bien f:\jefaiscequejeveux\brice , le fix aurait sans problème fonctionné.

Navilog1 filtre les variables issues du registre afin de récupérer les noms de dossiers dans la langue de l'OS. Il n'effectue pas un scan global mais va directement chercher ou il est programmé pour aller chercher.

IL-MAFIOSO · Answer

Bricex,

Si tu es encore connecté en ce moment, dis le moi. J'ai un truc pour ton cas

Bricex · Answer

Test en  cours , mais hmathbd semble avoir fonctionné. Je n'ai pas trouvé d'info sur hmathbd

IL-MAFIOSO · Answer

Salut,

Test en cours ?? Peux-tu être plus clair.

dadou94140 · Answer

j'ai un problème de pub et de lenteur de mon ordi.

J'ai lancé navilog1, voici le rapport, qui veut me dépanner, grand merci
Search Navipromo version 3.5.7 commencé le 13/05/2008 à  9:25:12,12

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "kirsch" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\kirsch\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\kirsch\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\kirsch\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

Fichiers trouvés :

evhrorvmku.exe trouvé ! 
gffouecax.exe trouvé ! 
judvmijkn.exe trouvé ! 
lrfwqnz.exe trouvé ! 
nrfztbg.exe trouvé ! 
sxaapqd.exe trouvé ! 
wxnryw.exe trouvé ! 
ceqdbai.exe trouvé ! 
cyahaoftp.exe trouvé ! 
dtfcomg.exe trouvé ! 
egclwncvkj.exe trouvé ! 
eujwhxhrz.exe trouvé ! 
fyebumdhy.exe trouvé ! 
oeramcj.exe trouvé ! 
shemghkq.exe trouvé ! 
tqrbaitz.exe trouvé ! 
tqrbaitz.dat trouvé ! 
tqrbaitz_nav.dat trouvé ! 
tqrbaitz_navps.dat trouvé ! 
unyyusfyj.exe trouvé ! 
vormais.exe trouvé ! 
zprkvaz.exe trouvé ! 

* Recherche dans "C:\Documents and Settings\kirsch\locals~1\applic~1" * 

Fichiers trouvés :

fyebumdhy.exe trouvé ! 
fyebumdhy.dat trouvé ! 
fyebumdhy_nav.dat trouvé ! 
fyebumdhy_navps.dat trouvé ! 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

mkseiqh.dat trouvé !
mkseiqh_nav.dat trouvé !
mkseiqh_navps.dat trouvé !
nnlwyrh_navtmp.dat trouvé !
pheymdrpgw.dat trouvé !
pheymdrpgw_nav.dat trouvé !
pheymdrpgw_navps.dat trouvé !
tqrbaitz.dat trouvé !
tqrbaitz_nav.dat trouvé !
tqrbaitz_navps.dat trouvé !
uobfba.dat trouvé !
uobfba_nav.dat trouvé !
uobfba_navps.dat trouvé !
zjpjbecof.dat trouvé !
zjpjbecof_nav.dat trouvé !
zjpjbecof_navps.dat trouvé !

* Dans "C:\Documents and Settings\kirsch\locals~1\applic~1" : 

fyebumdhy.dat trouvé !
fyebumdhy_nav.dat trouvé !
fyebumdhy_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32
toskrnl.bak2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 13/05/2008 à  9:33:14,26 ***

Bricex · Answer

Suite a ma derniere modif (Double clique sur le raccourci Navilog1 Au menu principal, choisis 4 et valide. Le fix va te demander de saisir le nom de fichier. Saisis ce qui est en gras ci-dessous et rien d'autre puis valide: hmathbd , )

je n'ai plus eu de pub parasite

J'attends ce soir pour fermer le post

mais je ne sias toujours pas ce qu'est hmathbd

IL-MAFIOSO · Answer

Salut Bricex,

Peux-tu poster le rapport cleannavi.txt (il se trouve à la racine de ton disque C )

eZula · Answer

hmathbd est le nom généré aléatoirement d'un adware (navipromo)

Bricex · Answer

Voici le log
De mon coté  , tout semble fonctionner. 

Merci beaucoup de m avoir aidé
Ce soir je ferme le post


Clean Navipromo version 3.5.7 commencé le 12/05/2008 à 14:29:50,90

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Brice" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS


Mode suppression par méthode manuelle

Nom du fichier saisi : hmathbd

Nettoyage exécuté au redémarrage de l'ordinateur


*** Recherche, création sauvegardes et suppression ***

* Suppression dans "C:\WINDOWS\system32" *

C:\WINDOWS\prefetch\hmathbd*.pf trouvé !
Copie C:\WINDOWS\prefetch\hmathbd*.pf réalisée avec succès !
C:\WINDOWS\prefetch\hmathbd*.pf supprimé !

* Suppression dans "F:\Brice\applic~1\" * 


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "f:\alluse~1\applic~1" ***


*** Suppression dossiers dans "f:\alluse~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "F:\Brice\" *** 


*** Suppression dossiers dans "C:\$RECYCLE.BIN\" *** 


*** Suppression dossiers dans "C:\Boot\" *** 


*** Suppression dossiers dans "C:\CanoScan\" *** 


*** Suppression dossiers dans "C:\Dell\" *** 


*** Suppression dossiers dans "C:\DOCUME~1\" *** 


*** Suppression dossiers dans "C:\DREAMF~1\" *** 


*** Suppression dossiers dans "C:\drivers\" *** 


*** Suppression dossiers dans "C:\Intel\" *** 


*** Suppression dossiers dans "C:\logs\" *** 


*** Suppression dossiers dans "C:\PROGRA~1\" *** 


*** Suppression dossiers dans "C:\PVSW\" *** 


*** Suppression dossiers dans "C:\RECYCLER\" *** 


*** Suppression dossiers dans "C:\RESTOR~1\" *** 


*** Suppression dossiers dans "C:\Temp\" *** 


*** Suppression dossiers dans "C:\WINDOWS\" *** 


*** Suppression dossiers dans "C:\xampp\" *** 


*** Suppression dossiers dans "F:\Brice\applic~1\" *** 


*** Suppression dossiers dans "F:\Brice\progra~1\" *** 



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu F:\Brice\applic~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "F:\Brice\applic~1\" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 12/05/2008 à 14:34:08,39 ***

dadadou94140 · Answer

Search Navipromo version 3.5.7 commencé le 13/05/2008 à  9:25:12,12

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "kirsch" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\kirsch\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\kirsch\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\kirsch\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

Fichiers trouvés :

evhrorvmku.exe trouvé ! 
gffouecax.exe trouvé ! 
judvmijkn.exe trouvé ! 
lrfwqnz.exe trouvé ! 
nrfztbg.exe trouvé ! 
sxaapqd.exe trouvé ! 
wxnryw.exe trouvé ! 
ceqdbai.exe trouvé ! 
cyahaoftp.exe trouvé ! 
dtfcomg.exe trouvé ! 
egclwncvkj.exe trouvé ! 
eujwhxhrz.exe trouvé ! 
fyebumdhy.exe trouvé ! 
oeramcj.exe trouvé ! 
shemghkq.exe trouvé ! 
tqrbaitz.exe trouvé ! 
tqrbaitz.dat trouvé ! 
tqrbaitz_nav.dat trouvé ! 
tqrbaitz_navps.dat trouvé ! 
unyyusfyj.exe trouvé ! 
vormais.exe trouvé ! 
zprkvaz.exe trouvé ! 

* Recherche dans "C:\Documents and Settings\kirsch\locals~1\applic~1" * 

Fichiers trouvés :

fyebumdhy.exe trouvé ! 
fyebumdhy.dat trouvé ! 
fyebumdhy_nav.dat trouvé ! 
fyebumdhy_navps.dat trouvé ! 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

mkseiqh.dat trouvé !
mkseiqh_nav.dat trouvé !
mkseiqh_navps.dat trouvé !
nnlwyrh_navtmp.dat trouvé !
pheymdrpgw.dat trouvé !
pheymdrpgw_nav.dat trouvé !
pheymdrpgw_navps.dat trouvé !
tqrbaitz.dat trouvé !
tqrbaitz_nav.dat trouvé !
tqrbaitz_navps.dat trouvé !
uobfba.dat trouvé !
uobfba_nav.dat trouvé !
uobfba_navps.dat trouvé !
zjpjbecof.dat trouvé !
zjpjbecof_nav.dat trouvé !
zjpjbecof_navps.dat trouvé !

* Dans "C:\Documents and Settings\kirsch\locals~1\applic~1" : 

fyebumdhy.dat trouvé !
fyebumdhy_nav.dat trouvé !
fyebumdhy_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32
toskrnl.bak2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 13/05/2008 à  9:33:14,26 ***

IL-MAFIOSO · Answer

Pour les autres : Evitez de poster dans le sujet d'un autre : Créer votre propre sujet !

Bricex, pour moi tu dois encore avoir le rootkit dans f:\brice\local settings\application data

Navilog1 n'a supprimé que le fichier dans ton prefetch. Je suis surpris que tu n'ai plus du pubs.

via ton poste de travail, en affichant les fichiers/dossiers cachés, peux-tu voir si tu n'as pas des fichiers du nom hmathbd

IL-MAFIOSO · Answer

dadadou94140, je parlais à Bricex. 

Par contre par respect pour Bricex, tu devrais créer ton propre sujet et non poster dans celui-ci. Merci pour ta compréhension.

Bricex · Answer

Grand Merci a ceux qui m ont aidé. 
Je n'ai plus de trace de hmathbd. et plus de publicités

PB Résolu

(Double clique sur le raccourci Navilog1 Au menu principal, choisis 4 et valide. Le fix va te demander de saisir le nom de fichier. Saisis ce qui est en gras ci-dessous et rien d'autre puis valide: hmathbd , ) hmathbd apparaissait dans hijackthis

VIRUS: déroute l informaticien que je suis

21 réponses

Discussions similaires

Newsletters