Sujet Précédent Sujet Suivant

Multiples inféctions, l'horreur !

Résolu/Fermé
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 - 21 janv. 2009 à 19:06
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 23 janv. 2009 à 00:04
Bonsoir à tous,

J'ai un gros problème depuis quelques heures maintenant :

Il m'est impossible d'accéder à mon disque dur.

Je double clique dessus, mais, le sablier apparait une demie seconde avant de disparaitre, et rien ne se passe.

Je précise que j'ai effectué une analyse antivirus (deux, une sous windows normal et une en mode sans echec).

Il m'a dégoter au total 27 virus !

Je crois les avoir tous supprimé (j'ai supprimer manuellement les résistants).

Malgré cela, ça ne change rien (enfin si, internet était horriblement lent, ce n'est plus le cas).

Highjackthis m'a trouvé encore pas mal de saletés, qui ont été "fixées".

Merci.

43 réponses

Réponse 1 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 19:07
Salut gogeta_22,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
Réponse 2 / 43
J_O_J_O Messages postés 1605 Date d'inscription mercredi 1 octobre 2008 Statut Membre Dernière intervention 22 février 2015 92
21 janv. 2009 à 19:07
Salut . Poste ton rapport hijackthis s'il te plaît .
0
Réponse 3 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 19:12
bonsoir,

j'ai cliquer sur ton lien.

Hors, il me sort : "erreur de chargement de la page".

Je vais donc télécharger le programme via mon autre PC et je vais transférer ce dernier sur ce PC.


PS : Toutes les autres pages fonctionnent.

Autre chose : Lorsque je veux mettre mon rapport Highjackthis sur leur site, un nouvel onglet s'ouvre, me disant que je suis infecté et voulant me faire installer quelque chose.
0
Réponse 4 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 19:15
A mon avis, c'est bien le rootkit Tibs.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) en prenant soin de le renommer en KillTibs avant de l'enregistrer sur ton Bureau.
--> Double-clique sur KillTibs.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 19:18
Voila le rapport :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Etienne at 2009-01-21 19:17:00
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 121 GB (62%) free of 194 GB
Total RAM: 2047 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:00, on 21/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSI\DigiCell\DigiCell.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\MSI\DualCoreCenter\DualCoreCenter.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Etienne\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Etienne.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DigiCell.lnk = C:\Program Files\MSI\DigiCell\DigiCell.exe
O4 - Global Startup: DualCoreCenter.lnk = C:\Program Files\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - Unknown owner - C:\Program Files\G DATA\AntiVirus\AVK\AVKService.exe (file missing)
O23 - Service: Gardien d'AntiVirus (AVKWCtl) - Unknown owner - C:\Program Files\G DATA\AntiVirus\AVK\AVKWCtl.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - https://sourceforge.net/p/libusb-win32/wiki/Home/ - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
0
Réponse 6 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 19:20
Ok, fais la procédure avec ComboFix renommé.
0
Réponse 7 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 19:40
Me revoila,

tout semble fonctionner :)

ComboFix 09-01-20.05 - Etienne 2009-01-21 19:37:09.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2047.1694 [GMT 1:00]
Lancé depuis: c:\documents and settings\Etienne\Mes documents\Killtibs.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
AV: G DATA AntiVirus *On-access scanning enabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\Etienne\Local Settings\Application Data\sgwywmq.dat
c:\documents and settings\Etienne\Local Settings\Application Data\sgwywmq.exe
c:\documents and settings\Etienne\Local Settings\Application Data\sgwywmq_nav.dat
c:\documents and settings\Etienne\Local Settings\Application Data\sgwywmq_navps.dat
c:\program files\Mozilla Firefox\components\iamfamous.dll
C:\resycled
c:\resycled\ntldr.com
c:\windows\system32\_004096_.tmp.dll
c:\windows\system32\_004097_.tmp.dll
c:\windows\system32\_004098_.tmp.dll
c:\windows\system32\_004099_.tmp.dll
c:\windows\system32\_004106_.tmp.dll
c:\windows\system32\_004107_.tmp.dll
c:\windows\system32\_004108_.tmp.dll
c:\windows\system32\_004109_.tmp.dll
c:\windows\system32\_004111_.tmp.dll
c:\windows\system32\_004112_.tmp.dll
c:\windows\system32\_004115_.tmp.dll
c:\windows\system32\_004116_.tmp.dll
c:\windows\system32\_004118_.tmp.dll
c:\windows\system32\_004119_.tmp.dll
c:\windows\system32\_004120_.tmp.dll
c:\windows\system32\_004122_.tmp.dll
c:\windows\system32\_004125_.tmp.dll
c:\windows\system32\_004126_.tmp.dll
c:\windows\system32\_004130_.tmp.dll
c:\windows\system32\_004131_.tmp.dll
c:\windows\system32\_004133_.tmp.dll
c:\windows\system32\_004136_.tmp.dll
c:\windows\system32\_004138_.tmp.dll
c:\windows\system32\_004139_.tmp.dll
c:\windows\system32\_004140_.tmp.dll
c:\windows\system32\_004141_.tmp.dll
c:\windows\system32\_004142_.tmp.dll
c:\windows\system32\_004145_.tmp.dll
c:\windows\system32\_004146_.tmp.dll
c:\windows\system32\_004147_.tmp.dll
c:\windows\system32\_004148_.tmp.dll
c:\windows\system32\_004149_.tmp.dll
c:\windows\system32\_004154_.tmp.dll
c:\windows\system32\_004156_.tmp.dll
c:\windows\system32\drivers\TDSSpxfe.sys
c:\windows\system32\TDSScrfx.dll
c:\windows\system32\TDSSehys.log
c:\windows\system32\TDSSixgx.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSnpur.dll
c:\windows\system32\TDSSoitu.dll
c:\windows\system32\TDSSsaho.dll
c:\windows\system32\TDSSsape.dat
c:\windows\system32\TDSSwkod.log
c:\windows\system32\TDSSyaqu.dll
c:\windows\system32\tmp87.tmp
c:\windows\system32\wl.exe
E:\autorun.inf
E:\resycled
e:\resycled\ntldr.com

----- BITS: Il y a peut-être des sites infectés -----

hxxp://cdn.game-server.cc
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((((((((( Fichiers créés du 2008-12-21 au 2009-01-21 ))))))))))))))))))))))))))))))))))))
.

2009-01-21 19:17 . 2009-01-21 19:17 <REP> d-------- C:\rsit
2009-01-21 18:32 . 2009-01-21 18:32 <REP> d-------- c:\program files\Trend Micro
2009-01-21 16:01 . 2009-01-21 16:01 1,385 --a------ C:\phwnmvno.exe
2009-01-21 16:01 . 2009-01-21 16:01 1,385 --a------ C:\pdeas.exe
2009-01-21 16:01 . 2009-01-21 16:01 1,385 --a------ C:\nhiyf.exe
2009-01-21 16:01 . 2009-01-21 16:01 1,385 --a------ C:\fukimcw.exe
2009-01-21 16:01 . 2009-01-21 16:01 1,385 --a------ C:\djsnvd.exe
2009-01-21 16:01 . 2009-01-21 16:01 1,385 --a------ C:\aocnrh.exe
2009-01-21 16:01 . 2009-01-21 16:01 2 --a------ C:\-728004107
2009-01-21 15:45 . 2009-01-21 15:45 <REP> d--h----- c:\windows\PIF
2009-01-18 21:55 . 2009-01-18 21:55 <REP> d-------- c:\program files\Avira
2009-01-18 21:55 . 2009-01-18 21:55 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-01-18 21:43 . 2009-01-18 21:43 <REP> d-------- c:\program files\AskBarDis
2009-01-18 21:43 . 2009-01-21 15:46 <REP> d-------- c:\documents and settings\Etienne\Application Data\Azureus
2009-01-18 21:43 . 2009-01-18 21:43 <REP> d-------- c:\documents and settings\All Users\Application Data\Azureus
2009-01-18 21:42 . 2009-01-18 21:51 <REP> d-------- c:\program files\Vuze
2009-01-18 20:13 . 2009-01-18 20:13 <REP> d-------- c:\program files\Fichiers communs\G DATA
2009-01-18 20:13 . 2009-01-18 20:13 <REP> d-------- c:\documents and settings\All Users\Application Data\G DATA
2009-01-18 20:13 . 2009-01-18 20:13 50,888 --a------ c:\windows\system32\drivers\MiniIcpt.sys
2009-01-18 20:13 . 2009-01-18 20:13 50,888 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys
2009-01-18 20:13 . 2009-01-18 20:13 32,200 --a------ c:\windows\system32\drivers\HookCentre.sys
2009-01-15 19:14 . 2009-01-15 19:14 <REP> d-------- c:\program files\Electronic Arts
2009-01-15 00:04 . 2009-01-15 00:04 268 --ah----- C:\sqmdata01.sqm
2009-01-15 00:04 . 2009-01-15 00:04 244 --ah----- C:\sqmnoopt01.sqm
2009-01-14 17:52 . 2009-01-17 14:18 23 --a------ c:\windows\BlendSettings.ini
2009-01-14 17:39 . 2009-01-14 17:39 <REP> d-------- c:\program files\Bethesda Softworks
2009-01-14 11:38 . 2009-01-14 11:38 <REP> d-------- c:\program files\OpenAL
2009-01-14 11:38 . 2009-01-14 11:38 413,696 --a------ c:\windows\system32\wrap_oal.dll
2009-01-14 11:38 . 2009-01-14 11:38 86,016 --a------ c:\windows\system32\OpenAL32.dll
2009-01-14 11:34 . 2009-01-14 11:34 <REP> d-------- c:\program files\Bohemia Interactive
2009-01-11 21:44 . 2009-01-11 21:44 <REP> d-------- C:\GAMIGO
2009-01-11 16:33 . 2009-01-11 16:52 <REP> d-------- c:\program files\SystemRequirementsLab
2009-01-11 16:33 . 2009-01-11 16:33 <REP> d-------- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab
2009-01-10 18:57 . 2009-01-21 18:19 <REP> d-------- c:\documents and settings\Etienne\Application Data\skypePM
2009-01-10 18:57 . 2009-01-10 18:57 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-01-08 22:55 . 2009-01-08 22:55 <REP> d-------- c:\program files\Skype
2009-01-08 22:55 . 2009-01-08 22:55 <REP> d-------- c:\program files\Fichiers communs\Skype
2009-01-08 22:55 . 2009-01-21 19:34 <REP> d-------- c:\documents and settings\Etienne\Application Data\Skype
2009-01-08 22:55 . 2009-01-08 22:55 <REP> d-------- c:\documents and settings\All Users\Application Data\Skype
2009-01-06 20:25 . 2009-01-06 20:25 <REP> d-------- c:\documents and settings\Etienne\Application Data\AdobeUM
2009-01-06 20:23 . 2009-01-06 20:23 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-01-05 23:01 . 2009-01-05 23:01 <REP> d-------- c:\program files\Teamspeak2_RC2
2009-01-05 23:01 . 2009-01-05 23:02 <REP> d-------- c:\documents and settings\Etienne\Application Data\teamspeak2
2009-01-05 23:01 . 2009-01-05 23:01 34,064 --a------ c:\windows\system32\lhacm.acm
2009-01-05 22:19 . 2009-01-11 21:18 <REP> d-------- c:\documents and settings\Etienne\Application Data\dvdcss
2009-01-04 22:23 . 2009-01-05 12:57 <REP> d-------- c:\documents and settings\Etienne\Application Data\vlc
2009-01-04 22:21 . 2009-01-04 22:21 <REP> d-------- c:\program files\VideoLAN
2009-01-03 15:45 . 2008-04-14 03:33 54,784 --a------ c:\windows\system32\vfwwdm32.dll
2009-01-03 15:45 . 2008-04-14 03:33 54,784 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll
2009-01-03 10:30 . 2009-01-03 10:30 <REP> d-------- c:\program files\Fichiers communs\LogiShared
2009-01-03 10:30 . 2009-01-03 10:30 <REP> d-------- c:\documents and settings\Etienne\Application Data\Logitech
2009-01-03 10:30 . 2009-01-03 10:30 127,034 -r------- c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2009-01-03 10:29 . 2007-04-11 15:33 1,419,024 --a------ c:\windows\system32\WdfCoInstaller01005.dll
2009-01-03 10:29 . 2007-04-11 15:33 79,376 --a------ c:\windows\system32\drivers\LMouKE.Sys
2009-01-03 10:29 . 2007-04-11 15:32 63,248 --a------ c:\windows\system32\drivers\L8042mou.Sys
2009-01-03 10:29 . 2007-04-11 15:32 56,080 --a------ c:\windows\KHALMNPR.Exe
2009-01-03 10:29 . 2007-04-11 15:32 36,112 --a------ c:\windows\system32\drivers\LMouFilt.Sys
2009-01-03 10:29 . 2007-04-11 15:32 34,832 --a------ c:\windows\system32\drivers\LHidFilt.Sys
2009-01-03 10:29 . 2007-04-11 15:32 20,496 --a------ c:\windows\system32\drivers\L8042Kbd.sys
2009-01-03 10:29 . 2009-01-03 10:29 0 --ah----- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-01-03 10:29 . 2009-01-03 10:29 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2009-01-03 10:28 . 2009-01-03 10:28 <REP> d-------- c:\documents and settings\Etienne\Application Data\InstallShield
2009-01-03 10:28 . 2009-01-03 10:28 <REP> d-------- c:\documents and settings\All Users\Application Data\LogiShrd
2009-01-03 10:28 . 2007-04-23 04:00 163,840 --a------ c:\windows\system32\kemutb.dll
2009-01-03 10:28 . 2007-04-23 04:00 135,168 --a------ c:\windows\system32\KemUtil.dll
2009-01-03 10:28 . 2007-04-23 04:00 110,592 --a------ c:\windows\system32\KemWnd.dll
2009-01-03 10:28 . 2007-04-23 04:00 69,632 --a------ c:\windows\system32\KemXML.dll
2009-01-03 10:25 . 2009-01-03 10:30 <REP> d-------- c:\program files\Logitech
2009-01-03 10:25 . 2009-01-03 10:29 <REP> d-------- c:\program files\Fichiers communs\Logitech
2009-01-03 10:25 . 2009-01-03 10:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Logitech
2009-01-03 10:23 . 2008-04-14 03:33 21,504 --a------ c:\windows\system32\hidserv.dll
2009-01-03 10:23 . 2008-04-14 03:33 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-01-03 10:23 . 2008-04-14 03:05 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-01-03 10:23 . 2008-04-14 03:05 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-01-03 10:22 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-01-03 10:22 . 2008-04-13 19:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-01-02 00:24 . 2009-01-02 00:24 <REP> d-------- c:\windows\Sun
2009-01-01 23:55 . 2009-01-01 23:54 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-01 23:55 . 2009-01-01 23:54 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-01 23:54 . 2009-01-01 23:54 <REP> d-------- c:\program files\Java
2008-12-30 23:12 . 2009-01-03 16:12 <REP> d-------- c:\program files\CamStudio
2008-12-30 21:27 . 2008-12-30 21:27 <REP> d-------- c:\program files\Codemasters
2008-12-30 14:30 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2008-12-30 14:30 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2008-12-30 14:30 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2008-12-30 11:04 . 2008-12-30 11:04 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-12-30 00:24 . 2008-12-30 00:24 <REP> d-------- C:\ProgramData
2008-12-30 00:24 . 2008-12-30 00:51 2,024 --a------ c:\windows\system32\ealregsnapshot1.reg
2008-12-29 23:28 . 2008-12-29 23:28 <REP> d-------- c:\program files\GameSpy
2008-12-29 23:28 . 2008-12-29 23:28 <REP> dr-h----- c:\documents and settings\Etienne\Application Data\SecuROM
2008-12-29 23:28 . 2008-12-29 23:28 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-29 23:27 . 2008-12-29 23:27 <REP> d-------- c:\windows\system32\URTTEMP
2008-12-29 22:58 . 2009-01-15 19:33 669,184 --a------ c:\windows\system32\pbsvc.exe
2008-12-29 21:57 . 2008-12-29 21:57 <REP> d-------- c:\documents and settings\Etienne\Contacts
2008-12-29 21:56 . 2008-12-29 21:56 <REP> d-------- c:\program files\Messenger Plus! Live
2008-12-29 21:56 . 2008-12-29 21:56 268 --ah----- C:\sqmdata00.sqm
2008-12-29 21:56 . 2008-12-29 21:56 244 --ah----- C:\sqmnoopt00.sqm
2008-12-29 21:51 . 2008-12-29 21:57 <REP> d-------- c:\program files\Windows Live
2008-12-29 21:51 . 2008-12-29 21:52 <REP> d--hsc--- c:\program files\Fichiers communs\WindowsLiveInstaller
2008-12-29 21:51 . 2008-12-29 21:51 <REP> d-------- c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-29 20:28 . 2008-12-29 20:28 <REP> d-------- c:\program files\LibUSB-Win32-0.1.10.1
2008-12-29 20:28 . 2005-03-09 20:50 46,592 --a------ c:\windows\system32\libusb0.dll
2008-12-29 20:28 . 2005-03-09 20:50 33,792 --a------ c:\windows\system32\drivers\libusb0.sys
2008-12-29 20:28 . 2005-03-09 20:50 19,456 --a------ c:\windows\system32\libusbd-9x.exe
2008-12-29 20:28 . 2005-03-09 20:50 18,944 --a------ c:\windows\system32\libusbd-nt.exe
2008-12-29 20:17 . 2008-12-29 20:17 <REP> d-------- c:\program files\EA GAMES
2008-12-29 17:57 . 2009-01-17 15:11 138,784 --a------ c:\windows\system32\drivers\PnkBstrK.sys
2008-12-29 17:57 . 2009-01-15 19:33 22,328 --a------ c:\documents and settings\Etienne\Application Data\PnkBstrK.sys
2008-12-29 17:56 . 2009-01-17 15:10 111,928 --a------ c:\windows\system32\PnkBstrB.exe
2008-12-29 17:56 . 2009-01-15 19:33 66,872 --a------ c:\windows\system32\PnkBstrA.exe
2008-12-29 11:29 . 2008-12-29 11:29 <REP> d-------- c:\program files\Windows Media Connect 2
2008-12-29 11:28 . 2008-12-29 17:56 <REP> d-------- c:\windows\system32\LogFiles
2008-12-29 11:28 . 2008-12-29 11:28 <REP> d-------- c:\windows\system32\drivers\UMDF
2008-12-29 11:28 . 2008-12-29 11:28 <REP> d-------- C:\f373232a99d8fc3f0c7fd6fc
2008-12-29 11:00 . 2009-01-01 19:06 <REP> d-------- c:\windows\system32\fr-fr
2008-12-29 11:00 . 2008-12-29 11:00 <REP> d-------- c:\windows\system32\fr
2008-12-29 11:00 . 2008-12-29 11:00 <REP> d-------- c:\windows\system32\bits
2008-12-29 11:00 . 2008-12-29 11:00 <REP> d-------- c:\windows\l2schemas
2008-12-29 10:58 . 2008-12-29 11:00 <REP> d-------- c:\windows\ServicePackFiles
2008-12-29 10:56 . 2008-12-29 10:56 <REP> d-------- c:\windows\EHome
2008-12-29 10:07 . 2008-12-29 10:07 <REP> d-------- c:\windows\system32\AGEIA
2008-12-29 10:07 . 2008-12-29 10:07 <REP> d-------- c:\program files\AGEIA Technologies
2008-12-29 10:06 . 2008-12-29 10:06 <REP> d-------- c:\windows\nview
2008-12-29 10:06 . 2008-12-29 10:06 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-29 10:06 . 2008-12-29 10:06 <REP> d-------- C:\NVIDIA

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-28 04:40 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2008-12-28 04:40 --------- d-----w c:\program files\Inventel
2008-12-28 04:26 --------- d-----w c:\program files\microsoft frontpage
2008-12-28 04:24 --------- d-----w c:\program files\Services en ligne
2008-12-23 17:12 4,967,424 ----a-w c:\windows\system32\drivers\RtkHDAud.sys
2008-12-23 10:34 18,077,696 ----a-w c:\windows\RTHDCPL.EXE
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-10-27 09:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll
2008-10-27 09:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll
2008-10-27 09:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll
2008-10-27 09:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-23 12:36 286,720 ------w c:\windows\system32\SET12A1.tmp
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-12-09 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"Steam"="c:\program files\Steam\Steam.exe" [2008-12-28 1410296]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LiveMonitor"="c:\program files\MSI\Live Update 3\LMonitor.exe" [2006-09-05 497152]
"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2006-07-07 81920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-01 136600]
"Launch LGDCore"="c:\program files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1126400]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-23 c:\windows\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DigiCell.lnk - c:\program files\MSI\DigiCell\DigiCell.exe [2006-11-21 1376256]
DualCoreCenter.lnk - c:\program files\MSI\DualCoreCenter\StartUpDualCoreCenter.exe [2008-12-28 192512]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-01-03 67128]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-01-03 692224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\enemy territory quake wars\\etqw.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Steam\\steamapps\\kingess\\counter-strike source\\hl2.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Documents and Settings\\Etienne\\Bureau\\emule0.49b-Xtreme7.0\\emule.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Program Files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [2008-12-29 33792]
R4 AVKProxy;G DATA AntiVirus Proxy;c:\program files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe [2008-08-19 724040]
R4 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2009-01-18 50888]
R4 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
S1 474273b2;474273b2;c:\windows\system32\drivers\474273b2.sys --> c:\windows\system32\drivers\474273b2.sys [?]
S3 DualCoreCenter;DualCoreCenter;c:\program files\MSI\DualCoreCenter\NTGLM7X.sys [2008-12-28 28160]
S3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2009-01-18 50888]
S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2009-01-18 32200]
S3 RushTopDevice2;RushTopDevice2;c:\program files\MSI\DualCoreCenter\RushTop.sys [2008-12-28 46080]
S4 AVKService;G DATA Scheduler;c:\program files\G DATA\AntiVirus\AVK\AVKService.exe --> c:\program files\G DATA\AntiVirus\AVK\AVKService.exe [?]
S4 AVKWCtl;Gardien d'AntiVirus;c:\program files\G DATA\AntiVirus\AVK\AVKWCtl.exe --> c:\program files\G DATA\AntiVirus\AVK\AVKWCtl.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\ntldr.com c:
\Shell\Open\command - c:\resycled\ntldr.com c:
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Launch LCDMon - c:\program files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe
HKLM-Run-G DATA AntiVirus Trayapplication - c:\program files\G DATA\AntiVirus\AVKTray\AVKTray.exe


.
------- Examen supplémentaire -------
.
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\documents and settings\Etienne\Application Data\Mozilla\Firefox\Profiles\9b1xzo12.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\components\avkwebfilterff.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-21 19:38:58
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
"imagepath"="\systemroot\system32\drivers\gaopdxamtloyxe.sys"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(920)
c:\windows\system32\ginamsi.dll
.
Heure de fin: 2009-01-21 19:39:27
ComboFix-quarantined-files.txt 2009-01-21 18:39:25

Avant-CF: 127,191,121,920 octets libres
Après-CF: 129,163,862,016 octets libres

319 --- E O F --- 2009-01-14 23:05:53




Voila le rapport.


Merci infiniment :)
0
Réponse 8 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 19:43
L'infection principale est supprimée mais il en reste encore.

- Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le Bureau.

- Double-clique sur Navilog1.exe afin de lancer l'installation.

- Si le fix ne se lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le Bureau.

- Appuie sur F ou f puis valide par Entrée.

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options.

- Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix.

- Patiente jusqu'au message : *** Analyse terminée le ..... ***

- Le scan fini, le Bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse.

- Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.
0
Réponse 9 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 19:47
Voila le rapport :)

Search Navipromo version 3.7.1 commencé le 21/01/2009 à 19:46:56,29

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ )
BIOS : Default System BIOS
USER : Etienne ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)


C:\ (Local Disk) - NTFS - Total:189 Go (Free:119 Go)
D:\ (CD or DVD)
E:\ (USB) - FAT - Total:1932 Mo (Free:0 Go)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Etienne\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Etienne\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Etienne\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Scan Catchme non réalisé.
Droits limités sur la session actuelle.

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Etienne\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Etienne\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 21/01/2009 à 19:47:20,42 ***
0
Réponse 10 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 20:03
---> Relance Navilog1, fais l'option 2 et poste le rapport (C:\cleannavi.txt).
0
Réponse 11 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 20:07
J'ai essayer, voila ce qu'il me dis :

!!Nettoyage au redémarage du PC non possible!!

Nettoyage en mode sans echec impératif.

a effectuer dans la mÛme session ou l infection a ete trouve

Transmettez ces informations

au Helper qui vous a pris en charge

et suivez ses instructions.




Dois-je faire cela ?
0
Réponse 12 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 20:09
Oui.
0
Réponse 13 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 20:11
Je fais ça alors, je te poste le rapport dès que possible.

A tout à l'heure.
0
Réponse 14 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 20:18
Me revoila, avec un beau rapport tout neuf :)

Clean Navipromo version 3.7.1 commencé le 21/01/2009 à 20:13:13,17

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ )
BIOS : Default System BIOS
USER : Etienne ( Administrator )
BOOT : Fail-safe boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)


C:\ (Local Disk) - NTFS - Total:189 Go (Free:119 Go)
D:\ (CD or DVD)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage executé en mode sans échec


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Etienne\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Etienne\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Etienne\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Etienne\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Etienne\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Etienne\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 21/01/2009 à 20:13:46,54 ***
0
Réponse 15 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 20:24
---> Désinstalle Navilog1.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
Réponse 16 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 20:38
Toutes mes excuses, je mangeais.

Je te le donne dans 2 minutes :)
0
Réponse 17 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 20:43
Voila le rapport :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1675
Windows 5.1.2600 Service Pack 3

21/01/2009 20:42:03
mbam-log-2009-01-21 (20-42-03).txt

Type de recherche: Examen rapide
Eléments examinés: 46624
Temps écoulé: 1 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\gaopdxwbfknbgd.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\fukimcw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 18 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 20:48
---> Fais analyser ce fichier : c:\windows\system32\ginamsi.dll

---> Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/
0
Réponse 19 / 43
Kingess Messages postés 61 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 29 janvier 2010 2
21 janv. 2009 à 20:52
Le voila :

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.21 -
AhnLab-V3 5.0.0.2 2009.01.21 -
AntiVir 7.9.0.57 2009.01.21 -
Authentium 5.1.0.4 2009.01.21 -
Avast 4.8.1281.0 2009.01.21 -
AVG 8.0.0.229 2009.01.21 -
BitDefender 7.2 2009.01.21 -
CAT-QuickHeal 10.00 2009.01.21 -
ClamAV 0.94.1 2009.01.21 -
Comodo 940 2009.01.21 -
DrWeb 4.44.0.09170 2009.01.21 -
eSafe 7.0.17.0 2009.01.20 -
eTrust-Vet 31.6.6319 2009.01.21 -
F-Prot 4.4.4.56 2009.01.21 -
F-Secure 8.0.14470.0 2009.01.21 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.21 -
Ikarus T3.1.1.45.0 2009.01.21 -
K7AntiVirus 7.10.598 2009.01.21 -
Kaspersky 7.0.0.125 2009.01.21 -
McAfee 5502 2009.01.21 -
McAfee+Artemis 5502 2009.01.21 -
Microsoft 1.4205 2009.01.21 -
NOD32 3786 2009.01.21 -
Norman 5.93.01 2009.01.21 -
nProtect 2009.1.8.0 2009.01.21 -
Panda 9.5.1.2 2009.01.21 -
PCTools 4.4.2.0 2009.01.21 -
Prevx1 V2 2009.01.21 -
Rising 21.13.22.00 2009.01.21 -
SecureWeb-Gateway 6.7.6 2009.01.21 -
Sophos 4.37.0 2009.01.21 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.21 -
TheHacker 6.3.1.5.225 2009.01.21 -
TrendMicro 8.700.0.1004 2009.01.21 -
VBA32 3.12.8.10 2009.01.21 -
ViRobot 2009.1.21.1572 2009.01.21 -
VirusBuster 4.5.11.0 2009.01.21 -
Information additionnelle
File size: 45056 bytes
MD5...: 61e923609886f1a6a16f1b428687e45b
SHA1..: 16e38a7c670a6bc666d86746b1710b2ba54c2187
SHA256: 73c05b3299621dbe9755bcc0541309c7379a5baee41c10da4229d7e6086e75ed
SHA512: a474dde1acd7d7085486d9ec3658c75b3028789dd46145f981e4c620e2c21b59
b6bf519f07f4ad2949c4e9a38f834fda6837d0c932e9d6736fd4edd2eb3e1d1b
ssdeep: 384:k5d5aYTVoj3CKpezMRHslN97l2ap2xXBhpcNryB5PaO9/Vu4+cAB8opbbmCU
X:ORTVoj31pDs39p2lBare9/ViB8oMCU
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001506
timedatestamp.....: 0x3bde3c75 (Tue Oct 30 05:36:53 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x437a 0x5000 5.97 d2cb9b544ce2171fbedc7695185cb036
.rdata 0x6000 0xc95 0x1000 4.56 f68038c86ffa8bbd43377b1aa984e7bf
.data 0x7000 0x3260 0x3000 0.87 1e31b62e06c274d5141b6a48807d2b7d
.reloc 0xb000 0xc90 0x1000 3.20 df57d802534a9d4fe871c2b793ec4e50

( 1 imports )
> KERNEL32.dll: HeapCreate, LoadLibraryA, CloseHandle, UnmapViewOfFile, MapViewOfFile, OpenFileMappingA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, GetLastError, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, GetModuleHandleA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, GetProcAddress, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, RtlUnwind, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, InterlockedDecrement, InterlockedIncrement

( 14 exports )
WlxActivateUserShell, WlxDisplayLockedNotice, WlxDisplaySASNotice, WlxInitialize, WlxIsLockOk, WlxIsLogoffOk, WlxLoggedOnSAS, WlxLoggedOutSAS, WlxLogoff, WlxNegotiate, WlxScreenSaverNotify, WlxShutdown, WlxStartApplication, WlxWkstaLockedSAS
0
Réponse 20 / 43
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
21 janv. 2009 à 20:59
Ok, je dois m'absenter. Je reviens tout à l'heure. Si tu n'es plus là, passe demain ;)
0

Discussions similaires

Télécharger des films d'horreur
khgK1 -
khgK1 -

2 réponses
Consignes communautaires TikTok
Locky_Fangirl -
bazfile -

3 réponses
film corps trouver dans les murs
daphex3 -
natdu15 -

4 réponses
Microsoft TCP/IP : carte vment
morsi06 -
kelux -

2 réponses
Film d'horreur mais pas trop flippant
DoctorOfThuganomics -
cfyg- -

7 réponses