Fenêtres intempestives !!!! Résolu

Question

Bonjour, Je suis envahi depuis quelques jours de fenêtres intempestives sous Firefox 3.0.5. Mon pc sous xp sp3 est "protégé" par norton ainsi qu'un firewall sygate. Le firewall windows est désactivé. Les fenêtres intempestives sont pub et jeux. Voici mon log Highjackthis d'aujourd'hui. Sio quelqu'un peut m'aider car je viens de passer ma journée à essayer plusieurs utilitaires en vain pour venir à bout de ce truc. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:33:16, on 03/02/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\S3trayp.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\LXSUPMON.EXE C:\Program Files\Java\jre6\bin\jusched.exe C:\Documents and Settings\Olivier\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe C:\Program Files\Logitech\QuickCam10\QuickCam10.exe C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\documents and settings\olivier\local settings\application data\vgnuf.exe C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe C:\Program Files\SpamPal\spampal.exe C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\IPSBHO.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Olivier\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe" O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [vgnuf] "c:\documents and settings\olivier\local settings\application data\vgnuf.exe" vgnuf O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'SYSTEM') O4 - .DEFAULT Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'Default user') O4 - .DEFAULT Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'Default user') O4 - Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe J'ai également un rapport navilog : Search Navipromo version 3.7.1 commencé le 02/02/2009 à 18:14:32,75 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Postez ce rapport sur le forum pour le faire analyser !!! !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!! Outil exécuté depuis C:\Program Files avilog1 Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3400+ ) BIOS : )Phoenix - Award WorkstationBIOS v6.00PG USER : Olivier ( Administrator ) BOOT : Normal boot Antivirus : Norton AntiVirus 16.1.0.33 (Activated) Firewall : Sygate Personal Firewall 4.6 (Activated) C:\ (Local Disk) - NTFS - Total:48 Go (Free:34 Go) D:\ (Local Disk) - NTFS - Total:137 Go (Free:106 Go) E:\ (CD or DVD) Recherche executé en mode normal *** Recherche Programmes installés *** Favorit *** Recherche dossiers dans "C:\WINDOWS" *** *** Recherche dossiers dans "C:\Program Files" *** *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" *** *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" *** *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" *** *** Recherche dossiers dans "C:\Documents and Settings\Olivier\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** *** Recherche dossiers dans "C:\Documents and Settings\Olivier\locals~1\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** *** Recherche dossiers dans "C:\Documents and Settings\Olivier\menudm~1\progra~1" *** *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** *** Recherche avec Catchme-rootkit/stealth malware detector par gmer *** pour + d'infos : http://www.gmer.net *** Recherche avec GenericNaviSearch *** !!! Tous ces résultats peuvent révéler des fichiers légitimes !!! !!! A vérifier impérativement avant toute suppression manuelle !!! * Recherche dans "C:\WINDOWS\system32" * * Recherche dans "C:\Documents and Settings\Olivier\locals~1\applic~1" * * Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * *** Recherche fichiers *** *** Recherche clés spécifiques dans le Registre *** !! Les clés trouvées ne sont pas forcément infectées !! [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "vgnuf"="\"c:\documents and settings\olivier\local settings\application data\vgnuf.exe\" vgnuf" *** Module de Recherche complémentaire *** (Recherche fichiers spécifiques) 1)Recherche nouveaux fichiers Instant Access : 2)Recherche Heuristique : * Dans "C:\WINDOWS\system32" : * Dans "C:\Documents and Settings\Olivier\locals~1\applic~1" : vgnuf.exe trouvé ! vgnuf.dat trouvé ! vgnuf_nav.dat trouvé ! vgnuf_navps.dat trouvé ! * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 3)Recherche Certificats : Certificat Egroup absent ! Certificat Electronic-Group absent ! Certificat Montorgueil absent ! Certificat OOO-Favorit absent ! Certificat Sunny-Day-Design-Ltd absent ! 4)Recherche autres dossiers et fichiers connus : *** Analyse terminée le 02/02/2009 à 18:18:30,93 *** Et enfin un rapport F-secure : Scanning Report Monday, February 02, 2009 18:46:42 - 20:09:27 Computer name: PCWEB Scanning type: Scan system for malware, rootkits Target: C:\ D:\ ------------------------------------------------------------------------ Result: 6 malware found TrackingCookie.Atdmt (spyware) * System TrackingCookie.Xiti (spyware) * System W32/Packed_FSG.D (virus) * C:\WINDOWS\SYSTEM32\GNC.EXE (Submitted) * C:\PROGRAM FILES\NAVILOG1\GNC.EXE (Submitted) * C:\DOCUMENTS AND SETTINGS\OLIVIER\LOCAL SETTINGS\APPLICATION DATA\GNC.EXE (Submitted) * C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\LOCAL SETTINGS\APPLICATION DATA\GNC.EXE (Submitted) ------------------------------------------------------------------------ Statistics Scanned: * Files: 20211 * System: 2829 * Not scanned: 9 Actions: * Disinfected: 0 * Renamed: 0 * Deleted: 0 * None: 6 * Submitted: 4 Files not scanned: * C:\PAGEFILE.SYS * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * C:\WINDOWS\SYSTEM32\CONFIG\SAM * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_AVPAPP_{BB639333-810A-4BF8-85F5-C537857F55FC}0 * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_ISDATAPR_{E8EFD4CD-DE52-4444-9511-EFF3B158724B}0 * C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_ISDATAPR_{FF9AC67A-E394-46AE-B150-B3365343F166}G ------------------------------------------------------------------------ Options Scanning engines: * F-Secure USS: 3.0.0 * F-Secure Hydra: 3.6.8511, 2009-02-02 * F-Secure AVP: 7.0.171, 2009-02-02 * F-Secure Pegasus: 1.20.0, 1970-00-01 * F-Secure Blacklight: 0.0.0 Scanning options: * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR * Use Advanced heuristics Je ne sais vraiment plus quoi faire. Sauf reformater et réinstaller xp. Je l'ai fait il y a un mois, mais le problème est réapparu. Merci par avance.

twister2 · Answer

salu nathanoil
quel type pub a tu?

@+

abk4505 · Answer

Essaies de supprimer tous tes cookies déjà.

Nathan Oil · Answer

Ce sont des pubs plein écran, genre casino, meetic...

J'ai déjà viré mes cookies, vidé le cache et les fichiers temporaires.

booddha · Answer

Bonjour, tu es infecté

================ NAVILOG ===================

Pour Vista (si XP ou 2000, passer à la suite), 
l’UAC doit être désactivée lors de l'utilisation du fix.
pour désactiver l'UAC : https://forum.malekal.com/viewtopic.php?f=59&t=6517

Avec Antivir, la protection en temps réel doit être désactivée 
Antivir détecte certains composant de navilog1 comme néfaste.
	•	Pour cela, faire un clic-droit sur l'icône Antivir (Petit parapluie sur fond rouge) en bas à droite à côté de l'horloge puis Disable Guard.

	•	Télécharger Navilog1
	•	Double click sur l'icône de Navilog1 pour lancer l'installation :
	•	Choisir la langue d'installation : ici, on choisira le français puis cliquez sur Suivant
	•	Click sur Suivant
	•	Lire la licence utilisateur puis click sur Oui
	•	Une fenêtre indique où Navilog1 va être installé (par défaut dans C:\Program Files\Navilog1\): 
	•	click sur Suivant
	
	Si l'installation ne veut pas se faire (Message comme quoi il y a un virus ou autre)
	refaire l'opération en mode sans échec. Et faire la suite dans ce mode (imprimer la procédure avant)

	•	Une fois Navilog1 installé, une fenêtre permet de quitter l'installation. 
	•	Laisser la case Démarrer maintenant l'application installée cochée
	•	click sur Fermer.
	•	Sinon, pour l'ouvrir, double-click sur le raccourci navilog1 sur le bureau.
	•	Taper f du clavier 
	•	Appuyer sur la touche Entrée.
	•	Appuyer sur une touche du clavier pour continuer...
	•	Navilog1 vérifie qu'il est bien installé : sans quoi, il faudra le réinstaller,
  comme indiqué dans la partie Installation de cet article.
	•	Taper 1 dans menu principal de Navilog1 (ne pas faire le choix 2,3 ou 4 sans avis ou accord) 
	•	Appuyer sur la touche Entrée.

Navilog1 va effectuer la recherche des fichiers infectieux du PC : cela peut prendre une dizaine de minutes...

Navilog1 informe que la recherche est terminée :
	•	Appuyer sur une touche du clavier pour afficher le rapport qu'il a généré.
	•	Poster le rapport C:\fixnavi.txt ici

litchyseb · Answer

salut j ai le meme probleme que toi avec firefox j ai reussi en allant dans outil, vie privée,et j ai enlevé la croix dans accepter les cookies tiers, voila tu peut essayer

Nathan Oil · Answer

merci boodha, 
je regarde ça à tête reposée.
par contre je ne vois pas pour l'instant cet icône en forme de parapluie roue dont tu parles. Il équivaut à quelle application ?

booddha · Answer

Antivir, si tu ne l'as pas, ignore cette partie.

Nathan Oil · Answer

voici donc mon rapport. J'ai pris soin de désactiver Norton et Sygate Firewall pour le scan :


 Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3400+ )
BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
USER : Olivier ( Administrator )
BOOT : Normal boot

Antivirus : Norton AntiVirus 16.1.0.33 (Activated)
Firewall  : Sygate Personal Firewall 4.6 (Not Activated)

C:\ (Local Disk) - NTFS - Total:48 Go (Free:33 Go)
D:\ (Local Disk) - NTFS - Total:137 Go (Free:105 Go)
E:\ (CD or DVD)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Olivier\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Olivier\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Olivier\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Olivier\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vgnuf"="\"c:\documents and settings\olivier\local settings\application data\vgnuf.exe\" vgnuf"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Olivier\locals~1\applic~1" : 

vgnuf.exe trouvé !
vgnuf.dat trouvé !
vgnuf_nav.dat trouvé !
vgnuf_navps.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 03/02/2009 à 18:45:55,21 ***


Merci pour votre analyse...

booddha · Answer

Excuse moi, j'ai eu une panne de courant ici

2ème partie de Navilog

Désinfection automatique
	•	Sous Windows Vista : Faire un clic droit sur l’icône Navilog1 qui se trouve sur le bureau, et
Choisir « exécuter en tant qu’administrateur » Sous XP passer cette phase

	•	Double-click sur le raccourci navilog1 du bureau et refaire les mêmes opérations que 
dans la section Recherche de fichiers infectieux de cet article jusqu'à arriver au menu de Navilog1

	•	Pour lancer le nettoyage automatique, taper 2
	•	Appuyer sur la touche Entrée.
	
Laisser Navilog1 travailler et être patient !
Il demandera d'enregistrer les documents en cours d'utilisation, car il aura besoin de redémarrer le PC.

	•	Quand le PC sera prêt à redémarrer, appuyer sur une touche du clavier et laisser Navilog1 opérer.
	•	Une fois le PC redémarré, Navilog1 terminera la désinfection et il fournira un rapport de désinfection.
	•	L'enregistrer si besoin, par exemple si on demande de le poster sur un forum (menu Edition / Enregistrer sous). 
Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant : cleannavi.txt 
à la racine du disque dur (ex : C:\cleannavi.txt) + rapport HijackThis

Nathan Oil · Answer

Mes résultat après désinfection navilog :

Clean Navipromo version 3.7.1 commencé le 03/02/2009 à 20:50:12,01

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3400+ )
BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
USER : Olivier ( Administrator )
BOOT : Normal boot

Antivirus : Norton AntiVirus 16.1.0.33 (Activated)
Firewall  : Sygate Personal Firewall 4.6 (Not Activated)

C:\ (Local Disk) - NTFS - Total:48 Go (Free:33 Go)
D:\ (Local Disk) - NTFS - Total:137 Go (Free:107 Go)
E:\ (CD or DVD)


Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Olivier\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Olivier\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Olivier\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Olivier\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Olivier\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *



* Dans "C:\Documents and Settings\Olivier\locals~1\applic~1" * 


vgnuf.exe trouvé ! 
Copie vgnuf.exe réalisée avec succès !
vgnuf.exe supprimé !

vgnuf.dat trouvé ! 
Copie vgnuf.dat réalisée avec succès !
vgnuf.dat supprimé !

vgnuf_nav.dat trouvé ! 
Copie vgnuf_nav.dat réalisée avec succès !
vgnuf_nav.dat supprimé !

vgnuf_navps.dat trouvé ! 
Copie vgnuf_navps.dat réalisée avec succès !
vgnuf_navps.dat supprimé !


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 03/02/2009 à 20:53:36,40 ***









et le rapport hijackthis :

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:36, on 03/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3Trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Documents and Settings\Olivier\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers 

communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton 

AntiVirus\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program 

Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program 

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3Trayp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Olivier\Application 

Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers 

communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'Default 

user')
O4 - .DEFAULT Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'Default user')
O4 - Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network 

Diagnostic\xpnetdiag.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - 

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Program 

Files\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

booddha · Answer

Excuse moi, je dois avoir un virus dans mon compteur électrique :)

===================== AD-REMOVER de CYRILDU =======================

Télécharger AD-Remover sur le bureau :


/!\ Déconnectes toi et fermes toutes applications en cours

	•	Double-click sur le programme d'installation , et l'installer dans son emplacement par défaut. ( C:\Program files )
	•	Double-click sur l'icône Ad-remover située sur ton bureau
	•	Au menu principal choisir l'option A
	•	Poster le rapport qui apparait à la fin .
	•	Attendre la suite

( le rapport est sauvegardé sous C:\Ad-report(date).log )

(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Nathan Oil · Answer

Les symptômes de fenêtres intempestives ont pour le moment disparu.
voici le rapport AD-Remover


------- LOGFILE OF AD-REMOVER 1.1.0.4 | ONLY XP/VISTA -------

Updated by C_XX on 03/02/2009 at 18:00

Start at: 11:36:35 | Mer 04/02/2009 | Microsoft® Windows XP™  SP3 (V5.1.2600)
Boot mode: Normal
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Pc: PCWEB | User: Olivier ( Current user is an administrator)
Drive(s): 
- C:\  (File System: NTFS)
- D:\  (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 42

+--------------------| Boonty/Boonty Games Elements Found:

.
.

+--------------------| Eorezo Elements Found:

HKCU\SOFTWARE\EoRezo
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Softwarehelper
.
C:\Documents and Settings\Olivier\Application Data\EoRezo
C:\Documents and Settings\Olivier\Application Data\EoRezo\db
C:\Documents and Settings\Olivier\Application Data\EoRezo\eoDesktop
C:\Documents and Settings\Olivier\Application Data\EoRezo\eoStats
C:\Documents and Settings\Olivier\Application Data\EoRezo\SoftwareUpdate
C:\Documents and Settings\Olivier\Cookies\olivier@eorezo[1].txt

+--------------------| Infected Poker Softwares Elements Found:

.

+--------------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements Found:

.
.

+--------------------| It's TV Elements Found:

.

+--------------------| Sweetim Elements Found:

.

+--------------------| Added Scan:

---- Mozilla FireFox Version 3.0.5 ----

ProfilePath: 2unfuw2r.default
.
Prefs.js: Browser.Startup.HomePage:  "https://myspace.com/"
.

booddha · Answer

Bonsoir

================ AD-REMOVER de CYRILDU NETTOYAGE ===================

Nettoyage AD-Remover :

	•	Se déconnecter et fermer toutes applications en cours !
	•	Relancer Ad-remover
	•	Choisir l'option B .
	•	Cocher à l'écran de sélection :

Suppression Boonty/BoontyGames
Suppression Eorezo
Suppression Programmes de poker infectés
Suppression Funwebproduct/MyWay/MyWebsearch
Suppression It's TV
Suppression Sweetim

	•	Puis choisir l'option S , le programme va travailler,
	•	Poster le rapport qui apparait à la fin.

Relancer la machine et poster un nouveau rapport Hijackthis

( le rapport est sauvegardé sous C:\Ad-report(date).log )

(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

/!\ Si le Bureau ne réapparait pas presser Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , taper explorer.exe et valider)

Nathan Oil · Answer

Le dernier rapport hijackthis :




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45:01, on 04/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3Trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3Trayp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'Default user')
O4 - .DEFAULT Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'Default user')
O4 - Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

booddha · Answer

Comment se comporte la machine ?

Codemeter tu connais ?

Norton c'est une version payante ?

A-tu déjà essayé de mettre à jour Internet explorer ?

(Ne fais rien pour l'instant, réponds juste à ces questions)

Nathan Oil · Answer

Ma machine se comporte parfaitement bien de nouveau.

Je ne connais pas Code meter

Norton est une version payante oui. Je reste sur cet abonnement car cela fait des années et qu'il ne m'est jamais rien arrivé de ce genre. (sans vouloir défendre norton, je crois avoir fait deux ou trois manips non recommandables et vérolées... probablement...)

Je n'utilise pas Internet Explorer mais Firefox. (dernière version à jour)

booddha · Answer

----------------------- Fixer des lignes  HitjackThis -------------------

Relancer Hitjackthis

	•	Fixer cette/ces lignes


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE     
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE     
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"     
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"     
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe     


	•	Pour fixer cette/ces lignes.
	•	Cliquer sur la petite case à gauche de chaque ligne à fixer.

	•	Une fois cette/ces lignes cochées, 
  •	fermer toutes tes fenêtres y compris internet
  •	click sur le bouton en bas FIX CHECKED
	•	Fermer et relancer HitJackThis
	•	Copier/Coller le nouveau rapport sur le forum.


==================== VIRUS TOTAL ====================== 

Aller sur le site VIRUS TOTAL

	•	COPIER/COLLER dans le champ de saisie ce qui est en gras

C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe

	•	Appuyer sur le bouton Envoyer le fichier

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

	•	Copier/Coller le rapport dans le prochain message.

c:\Documents and Settings\All Users\Menu Démarrer\Programmes\D‚marrage\winsched.exe 

==================== JAVA ======================
• Mettre à jour JAVA risques d'infections
• En fin d'installation, vérifier celle-ci.
• ouvrir le panneau de configuration en fin d'installation
• Ajout/suppression de programmes et supprimer les anciennes versions de java
• Répéter l'opération sauf pour la version 1.6.0_05 et redémarrer la machine si demandé

=========== MISE A JOUR INTERNET EXPLORER ===============

Certains sites dont Microsoft Updates necéssitant l'utilisation exclusive d'Internet Explorer, 
et même si on se sert d'un autre navigateur, la mise à jour d'internet explorer est impérative.
L'ancien comportant des failles de sécurité.

• Installer IE7 
Cette mise à jour corrige les failles de sécurité de IE6.
Elle est indispensable même si un autre navigateur Internet (Firefox, opéra etc...) est utilisé.
IE7 est indispensable pour se connecter à certains sites dont notamment Windows Update permettant la mise à jour
de Windows et de ses composants.

Renvoyer une rapport Hijacthis après avoir redémarrer la machine

Nathan Oil · Answer

Le fichier d'analyse de Virus Total concernant Code meter

(code meter est une clé virtuelle une sorte de dongle qui me donne accès à un logciel audio en cours d'évaluation)


 Fichier CodeMeter.exe reçu le 2009.02.05 21:33:03 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/39 (2.57%)

	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.0.0.93	2009.02.05	-
AhnLab-V3	5.0.0.2	2009.02.05	-
AntiVir	7.9.0.74	2009.02.05	-
Authentium	5.1.0.4	2009.02.05	-
Avast	4.8.1281.0	2009.02.05	-
AVG	8.0.0.229	2009.02.05	-
BitDefender	7.2	2009.02.05	-
CAT-QuickHeal	10.00	2009.02.05	-
ClamAV	0.94.1	2009.02.05	-
Comodo	965	2009.02.05	-
DrWeb	4.44.0.09170	2009.02.05	BACKDOOR.Trojan
eSafe	7.0.17.0	2009.02.05	-
eTrust-Vet	31.6.6343	2009.02.05	-
F-Prot	4.4.4.56	2009.02.05	-
F-Secure	8.0.14470.0	2009.02.05	-
Fortinet	3.117.0.0	2009.02.05	-
GData	19	2009.02.05	-
Ikarus	T3.1.1.45.0	2009.02.05	-
K7AntiVirus	7.10.620	2009.02.05	-
Kaspersky	7.0.0.125	2009.02.05	-
McAfee	5516	2009.02.04	-
McAfee+Artemis	5516	2009.02.04	-
Microsoft	1.4306	2009.02.05	-
NOD32	3830	2009.02.05	-
Norman	6.00.02	2009.02.05	-
nProtect	2009.1.8.0	2009.02.05	-
Panda	9.5.1.2	2009.02.05	-
PCTools	4.4.2.0	2009.02.05	-
Prevx1	V2	2009.02.05	-
Rising	21.15.30.00	2009.02.05	-
SecureWeb-Gateway	6.7.6	2009.02.05	-
Sophos	4.38.0	2009.02.05	-
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.02.05	-
TheHacker	6.3.1.5.247	2009.02.05	-
TrendMicro	8.700.0.1004	2009.02.05	-
VBA32	3.12.8.12	2009.02.05	-
ViRobot	2009.2.5.1591	2009.02.05	-
VirusBuster	4.5.11.0	2009.02.05	-




Information additionnelle
File size: 2007040 bytes
MD5...: c602af4675c1147747e5b5cac32fbd05
SHA1..: 9aadf06248b94c197bfa31839a73e5aa9b44b8fc
SHA256: 5002bb63609a91e5f5a1c343d9be796424bcb0a246bf7f07218dafb73730943b
SHA512: df439691eb8f7edaab0f8e67796d1ec147e81e75fb3913c3a1035c7d491009cc
157bdc8363ade8e976dcfff67af87554524e300109cbe3c2cebe813126ad69a8
ssdeep: 49152:GkHdMX3+x0+0cTuF9B7Rw7zJ48lzsgBggyOPy+BWPUx:G4dMnTKEVF8lzs
gBggyOPy+BWPUx
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xea855
timedatestamp.....: 0x46cdac29 (Thu Aug 23 15:47:53 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x122563 0x123000 6.53 5f4c2ab9a5cc4c5cb1d55b9773eedd72
.rdata 0x124000 0x3cbf6 0x3d000 5.06 34a1334911c9f540ac348e3e1fe41dea
.data 0x161000 0x2a9fc 0x9000 5.19 4aa29ed4b11a989e3923a149d9821c9e
.rsrc 0x18c000 0x7fa60 0x80000 3.61 f9a0ffb3166c33d41cdd161f845d4cf8

( 4 imports )
> KERNEL32.dll: QueryPerformanceFrequency, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, Sleep, MultiByteToWideChar, InterlockedDecrement, InterlockedIncrement, WideCharToMultiByte, RaiseException, GetLastError, InterlockedExchange, LocalAlloc, GetDriveTypeA, GetTickCount, WritePrivateProfileStringA, GetPrivateProfileStringA, GetPrivateProfileIntA, GetPrivateProfileSectionA, WritePrivateProfileSectionA, GetConsoleScreenBufferInfo, SetConsoleMode, GetStdHandle, GetConsoleMode, SetConsoleCtrlHandler, FlushConsoleInputBuffer, ReadConsoleInputA, GetNumberOfConsoleInputEvents, OpenEventA, CreateEventA, ResetEvent, SetEvent, WaitForSingleObject, WaitForMultipleObjects, CreateThread, ExitThread, TerminateThread, GetCurrentThread, GetCurrentThreadId, AreFileApisANSI, SetLastError, GetVersion, GetVersionExA, FormatMessageA, GetCurrentProcess, GetFileAttributesA, GetFullPathNameA, GetCurrentDirectoryA, SetCurrentDirectoryA, SystemTimeToFileTime, GetTimeZoneInformation, GetSystemTime, FileTimeToSystemTime, GetThreadPriority, GetModuleFileNameA, DeleteFileA, CopyFileA, CreateDirectoryA, OpenProcess, GetExitCodeProcess, TerminateProcess, GetStartupInfoA, ExitProcess, FindClose, FindNextFileA, FindFirstFileA, CreateSemaphoreA, ReleaseSemaphore, GetComputerNameA, GetSystemDirectoryA, GetWindowsDirectoryA, GetModuleHandleA, WriteFile, ReadFile, SetFilePointer, FlushFileBuffers, SetEndOfFile, GetFileSize, GetFileTime, IsBadReadPtr, DeviceIoControl, GetVolumeInformationA, GetDiskFreeSpaceA, GetLogicalDriveStringsA, HeapFree, RtlUnwind, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapAlloc, FileTimeToLocalFileTime, GetProcessHeap, GetStartupInfoW, LCMapStringA, LCMapStringW, GetCPInfo, GetTimeFormatA, GetDateFormatA, HeapReAlloc, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, HeapSize, GetACP, GetOEMCP, IsValidCodePage, GetModuleFileNameW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetLocaleInfoA, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, GetConsoleCP, SetStdHandle, GetLocaleInfoW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetThreadPriority, lstrcmpiA, MapViewOfFile, CreateFileMappingA, OpenFileMappingA, UnmapViewOfFile, GetSystemTimeAsFileTime, GetCurrentProcessId, CreateFileA, CloseHandle, FreeLibrary, LoadLibraryA, GetThreadLocale, GetProcAddress
> ADVAPI32.dll: GetTokenInformation, EqualSid, FreeSid, RegEnumValueA, RegEnumKeyExA, RegDeleteKeyA, RegDeleteValueA, RegSetValueExA, RegCreateKeyExA, RegFlushKey, OpenProcessToken, OpenThreadToken, SetServiceStatus, AllocateAndInitializeSid, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA, CloseServiceHandle, LookupPrivilegeNameA, QueryServiceConfigA, OpenSCManagerA, OpenServiceA, CreateServiceA, DeleteService, QueryServiceStatus, ControlService, StartServiceA, DeregisterEventSource, RegisterEventSourceA, RegOpenKeyA, RegConnectRegistryA, ReportEventA, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegCloseKey, RegQueryValueExA, RegOpenKeyExA
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> iphlpapi.dll: GetIpAddrTable

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c602af4675c1147747e5b5cac32fbd05' target='_blank'>http://research.sunbelt-software.com/...

Nathan Oil · Answer

par contre, je ne vois pas le fichier dont vous parlez sous

c:\Documents and Settings\All Users\Menu Démarrer\Programmes\D‚marrage\winsched.exe

Nathan Oil · Answer

JAVA : 


version 6 update 5 installée.
deux versions antérieurs supprimées.

Nathan Oil · Answer

Il semble que j'ai un gros pb avec Internet explorer 7.
Il refuse de s'installer et bloque sur "execution de l'outil de suppression de logiciels malveillants microsoft".
les icônes et raccourcis vers IE ont disparu. J'ai trouvé le moyende le lancer par l'intermédiaire de windows update. C'est bien la 

version 6 qui tourne.
Microsoft conseille de faire un windows update avant de réessayer l'installation.
Je l'ai fait mais ça reste sans succès.
Internet Explorer a disparu de la liste de logiciels dans l'ajout/suppr de programmes du panneau de configuration. 

LE SYSTEME DEVIENT DE PLUS EN PLUS INSTABLE :
perte intermittente des raccourcis claviers
perte intermittente de la molette de la souris 
perte intermittente des préférences de firefox 
... constaté pour l'instant...










DERNIER RAPPORT HIJACKTHIS : 

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3Trayp.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers 

communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - S-1-5-18 Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'Default 

user')
O4 - .DEFAULT Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'Default user')
O4 - Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network 

Diagnostic\xpnetdiag.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - 

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Program 

Files\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

booddha · Answer

Même symptomes en relançant la machine ?

Le fichier pour virus total est

c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Demarrage\winsched.exe

booddha · Answer

Ok, laisse tomber IE7. 

Codemeter ne semble pas malveillant.

==================  MalwareBytes =====================

Telecharger MalwareBytes

Le Tutorial

Attention à ce que l'option Executer un examen rapide soit cochée

Ne pas oublier de supprimer tout ce que MalwaresByte trouve. Bouton Supprimer la sélection après avoir tout sélectionné

Poster le rapport 

Relancer la machine et poster un nouveau rapport HiJackThis

Et je pense qu'après nous pourrons finaliser.
---------------------------------------

nathan oil · Answer

Le dernier rapport Hijackthis :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:22:54, on 07/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3Trayp.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\LSI SoftModem\agrsmsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3Trayp.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - S-1-5-18 Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe (User 'Default user')
O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'Default user')
O4 - Startup: CodeMeter Control Center.lnk = C:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

booddha · Answer

Bonsoir

Excuse moi de ne pas être plus assidu mais je suis pas mal occupé par ailleurs.

Pour malwaresByutes recommence la procédure sans oublier de tout effacer à la fin du scan.

Tu pourras garder l'outil. (Tu l'as acheté on dirait ?)

Puis on finalise si tu ne vois plus de problèmes.

----------------------- Fixer des lignes  HitjackThis -------------------

Relancer Hitjackthis

	•	Fixer cette/ces lignes


O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"


	•	Pour fixer cette/ces lignes.
	•	Cliquer sur la petite case à gauche de chaque ligne à fixer.

	•	Une fois cette/ces lignes cochées, 
  •	fermer toutes tes fenêtres y compris internet
  •	click sur le bouton en bas FIX CHECKED
	•	Fermer et relancer HitJackThis
	•	Copier/Coller le nouveau rapport sur le forum.

=================  TOOLSCLEANER2 ===================
Pour enlever les outils que l'on a utilisé.
	?	Télécharger ToolsCleaner2
	?	Double-clic dessus à l'endroit où il a été téléchargé :
	?	clic sur Recherche 
	?	patienter un moment le temps qu'il travaille... 
	?	Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, 
	?	clic sur Suppression afin de les supprimer.
	?	Fermer le programme en cliquant sur Quitter. 
	?	Poster le rapport qui se trouve ici >>> C:\TCleaner.txt
	?	Supprimer TOOLSCLEANER et tous les rapports ayant pu être sauvegardés.
	
Note : Le bureau RISQUE de disparaître, c'est normal. 
S'il n'apparaît pas à la fin du scan, faire la manipulation suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Sélectionner l'onglet Processus. 
Click en haut à gauche sur Fichiers et choisir Exécuter

Taper explorer.exe et valider. Cela fera re-apparaître le Bureau 

===================== CCLEANER ========================
Pour le petit coup de polish. 
	?	Appliquer la procédure ci-dessous. 
	?	l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.
	?	Si ce n'est pas fait Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
	?	Fermer toutes les applications
	?	Lancer CCLeaner
	        S'il n'est pas en Français cliquer sur Options, Setting, Language et sélectionner Français
	?	cocher dans le menu Nettoyeur - onglet Windows :
	        Internet Explorer: Fichiers Internet Temporaires, Cookies
	?	Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
	?	Avancé: Vieilles données du Prefetch
	?	Décocher dans le menu Options - sous-menu Avancé :
	        Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
	?	Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
	?	Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
	        Firefox/Mozilla: Cache Internet, Cookies 
	?	Click sur Analyse
	?	Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur. 
	?	Click sur Registre
	?	Sélectionner tout
	?	Click sur Chercher des erreurs (En bas)

	Une fois le scan terminé sélectionner tout  
	?	Click sur Réparer les erreurs sélectionnées

	?	Sous Windows Vista, si l'UAC a été désactivé, réactiver l'UAC en suivant la manipulation inverse qu'au début du tuto de cette page : 
Comment désactiver l’UAC

=========== POINT DE RESTAURATION SYSTEME =============
Très important, permet de reconstruire un point de restauration système propre en éliminant les anciens qui contiennent l'infection.

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	?	Appliquer 
	?	patienter jusqu’à ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	?	Appliquer 
	?	patienter que cela soit à nouveau sur "surveillance" puis Ok. 
	?	Redémarrer l'ordinateur..  
	?	Mettre en résolu le topic (en haut dans le cadre jaune).
	
---------------------------------------

Voilà, s'il n'y a plus de problème, terminé.

Si pas inscrit(e), il est recommandé de le faire car le site le mérite bien.

Je passe le topic en résolu. Ne pas hésiter à le réouvrir si nouveaux problèmes liés

Bonne continuation ;)

nathan oil · Answer

rapport Toolscleaner :



[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Olivier\Bureau\rapports malware\fixnavi.txt: trouvé !
C:\Documents and Settings\Olivier\Menu Démarrer\Programmes\lopxp.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\lopxp: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\fixnavi.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\Documents and Settings\Olivier\Bureau\rapports malware\fixnavi.txt: supprimé !
C:\Documents and Settings\Olivier\Menu Démarrer\Programmes\lopxp.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\lopxp: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

nathan oil · Answer

Voilà, je viens de terminer vos dernières recommandations.
Tout semble réagir comme il faut.

Merci beaucoup pour vos services et bravo !!!

Cordialement.

booddha · Answer

Pas de quoi ;-)

Fenêtres intempestives !!!! - Page 2

Discussions similaires

Newsletters