Sujet Précédent Sujet Suivant

Msn

joluis40 Messages postés 78 Statut Membre -  
joluis40 Messages postés 78 Statut Membre -
Bonjour a tous!

je pense avoir été infecté par le virus: IS THIS YOU? pouvez vous m'aidez s'il vous plait?
A voir également:

52 réponses

Précédent
Réponse 21 / 52
joluis40 Messages postés 78 Statut Membre 1
 
VOILA SE QUI EST ARRIVE :

Rapport GenProc 2.491 [1] - 21/03/2009 à 12:18:53 - Windows Vista

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- Navilog1 http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe (IL-MAFIOSO) sur ton Bureau.
Double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement
(si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide.
Patiente jusqu'au message " Analyse Termine le .....". Appuie sur une touche comme demandé, le blocnote va s'ouvrir, poste-le maintenant et passe à la suite.

- ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.

Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** Coyote *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).

# Etape 2/

Double clique sur le raccourci Navilog1, choisis l'option 2 et valide, patiente jusqu'au message : *** Nettoyage Termine le ..... ***
le blocnote va s'ouvrir ; sauvegarde le rapport de manière à le retrouver, referme le blocnote. Ton bureau va réapparaitre

# Etape 3/

Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

# Etape 4/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 5/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport situé dans C:\Combofix.txt;
- Le contenu du fichier cleannavi.txt qui se trouve dans Poste de travail > Disque C:\
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Arguments de la procédure ~~

# Détections [1] GenProc 2.491 21/03/2009 à 12:18:16
Navipromo:le 21/03/2009 à 12:18:21 "C:\Users\Coyote\AppData\Local\*_nav??.dat"
Vundo:le 21/03/2009 à 12:18:24 RegExp
0
Réponse 22 / 52
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ok fait ce qui est marqué étape par étape ensuite poste moi les rapports demandés.
0
Réponse 23 / 52
joluis40 Messages postés 78 Statut Membre 1
 
Search Navipromo version 3.7.6 commencé le 21/03/2009 à 12:35:48,64

voila la premier rapport :

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T3200 @ 2.00GHz )
BIOS : Default System BIOS
USER : Coyote ( Administrator )
BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:139 Go (Free:71 Go)
D:\ (Local Disk) - NTFS - Total:9 Go (Free:1 Go)
E:\ (CD or DVD)

Recherche executé en mode normal

*** Recherche dossiers dans "C:\Windows" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Recherche dossiers dans "C:\ProgramData" ***

*** Recherche dossiers dans "c:\users\coyote\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "C:\Users\Coyote\AppData\Local\virtualstore\Program Files" ***

*** Recherche dossiers dans "C:\Users\Coyote\AppData\Local" ***

*** Recherche dossiers dans "C:\Users\Coyote\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Coyote\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Coyote\AppData\Local" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"acxzup"="\"c:\\users\\coyote\\appdata\\local\\acxzup.exe\" acxzup"

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\Windows\system32" :

* Dans "C:\Users\Coyote\AppData\Local\Microsoft" :

* Dans "C:\Users\Coyote\AppData\Local" :

acxzup_nav.dat trouvé !
acxzup_navps.dat trouvé !
acxzup.bat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

*** Analyse terminée le 21/03/2009 à 12:51:45,03 ***
0
Réponse 24 / 52
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ensuite combofix.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 52
joluis40 Messages postés 78 Statut Membre 1
 
voila le deuxieme rapport :

ComboFix 09-03-19.02 - Coyote 2009-03-21 12:57:29.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.3068.1865 [GMT 1:00]
Lancé depuis: c:\users\Coyote\Downloads\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Coyote\AppData\Local\acxzup_nav.dat
c:\users\Coyote\AppData\Local\acxzup_navps.dat
c:\windows\system32\eduyovan.ini
c:\windows\system32\fenoyoyu.dll
c:\windows\system32\jmxcnt.dll
c:\windows\system32\kafawagi.dll
c:\windows\system32\navoyude.dll
c:\windows\system32\tomuzipu.dll
c:\windows\system32\vapiwusa.dll
c:\windows\system32\vonineye.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-21 au 2009-03-21 ))))))))))))))))))))))))))))))))))))
.

2009-03-21 12:33 . 2009-03-21 12:51 <REP> d-------- c:\program files\Navilog1
2009-03-21 07:57 . 2009-03-21 07:57 110,592 --a------ C:\bla.exe
2009-03-21 00:16 . 2009-03-21 12:17 <REP> d-------- c:\program files\Ad-remover
2009-03-20 23:36 . 2009-03-20 23:36 <REP> d-------- c:\program files\CCleaner
2009-03-20 23:07 . 2009-03-21 08:07 112,640 --a------ C:\gtb.exe
2009-03-20 19:58 . 2009-03-20 10:44 48,690 -r-hs---- c:\windows\fxsteller.exe
2009-03-16 19:11 . 2009-03-16 19:11 <REP> d-------- c:\users\Coyote\AppData\Roaming\dvdcss
2009-03-12 20:28 . 2008-12-16 04:29 8,147,456 --a------ c:\windows\System32\wmploc.DLL
2009-03-12 20:28 . 2009-02-09 04:10 2,033,152 --a------ c:\windows\System32\win32k.sys
2009-03-12 20:28 . 2008-11-27 05:43 268,288 --a------ c:\windows\System32\schannel.dll
2009-03-12 20:28 . 2008-12-16 06:31 7,680 --a------ c:\windows\System32\spwmp.dll
2009-03-12 20:28 . 2008-12-16 06:31 4,096 --a------ c:\windows\System32\msdxm.ocx
2009-03-12 20:28 . 2008-12-16 06:31 4,096 --a------ c:\windows\System32\dxmasf.dll
2009-02-26 20:18 . 2009-02-27 10:55 <REP> d-------- c:\users\Coyote\AppData\Roaming\vlc
2009-02-26 19:20 . 2009-02-26 19:22 51,600 --a------ c:\windows\System32\RadLightMPCUninstall.exe
2009-02-23 22:27 . 2009-03-20 23:41 <REP> d-------- c:\users\All Users\Spybot - Search & Destroy
2009-02-23 22:27 . 2009-03-20 23:41 <REP> d-------- c:\programdata\Spybot - Search & Destroy
2009-02-23 22:27 . 2009-02-23 22:27 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-02-23 22:20 . 2009-02-23 22:20 <REP> d-------- c:\windows\System32\Adobe
2009-02-23 12:00 . 2009-02-27 23:03 <REP> d-------- c:\users\Coyote\AppData\Roaming\uTorrent
2009-02-22 21:02 . 2009-02-23 12:25 1,584 --a------ c:\windows\System32\confirm.xml
2009-02-22 17:17 . 2009-02-23 20:07 <REP> d-------- c:\users\Coyote\AppData\Roaming\LimeWire
2009-02-21 19:42 . 2009-02-28 10:01 <REP> d-------- C:\Archivos de programa
2009-02-21 19:12 . 2009-02-21 19:12 <REP> d-------- c:\program files\Sweet Home 3D

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-21 12:03 56,798 ----a-w c:\users\All Users\nvModes.dat
2009-03-21 12:03 56,798 ----a-w c:\programdata\nvModes.dat
2009-03-20 11:10 --------- d-----w c:\programdata\Google Updater
2009-03-16 18:09 --------- d-----w c:\users\Coyote\AppData\Roaming\CyberLink
2009-03-12 23:47 --------- d-----w c:\program files\Windows Mail
2009-03-02 21:19 --------- d-----w c:\program files\Google
2009-03-01 16:59 946 ----a-w c:\users\Coyote\AppData\Roaming\wklnhst.dat
2009-02-27 20:21 --------- d-----w c:\program files\Microsoft Silverlight
2009-02-24 13:08 --------- d-----w c:\users\Coyote\AppData\Roaming\DivX
2009-02-19 20:26 --------- d-----w c:\program files\DivX
2009-02-19 20:26 --------- d-----w c:\program files\Common Files\PX Storage Engine
2009-02-19 20:18 --------- d-----w c:\program files\VideoLAN
2009-02-18 18:45 --------- d-----w c:\program files\SweetIM
2009-02-18 16:44 --------- d-----w c:\program files\Alwil Software
2009-02-16 17:16 --------- d-----w c:\program files\Microsoft
2009-02-16 17:15 --------- d-----w c:\program files\Windows Live
2009-02-16 17:15 --------- d-----w c:\program files\Microsoft Sync Framework
2009-02-16 17:11 --------- d-----w c:\program files\Windows Live SkyDrive
2009-02-16 16:51 --------- d-----w c:\program files\Common Files\Windows Live
2009-02-13 11:50 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-13 11:49 --------- d-----w c:\program files\Hewlett-Packard
2009-02-13 11:45 --------- d-----w c:\users\Coyote\AppData\Roaming\Hewlett-Packard
2009-02-11 21:30 --------- d-----w c:\program files\Apperson
2009-02-11 20:31 --------- d-----w c:\users\Coyote\AppData\Roaming\LiveCAD2
2009-02-09 08:58 --------- d-----w c:\programdata\AOL
2009-02-09 08:54 --------- d-----w c:\users\Coyote\AppData\Roaming\Samsung
2009-02-09 08:50 --------- d-----w c:\program files\Common Files\Real
2009-02-07 17:17 --------- d-----w c:\program files\K-Lite Codec Pack
2009-02-07 17:14 --------- d-----w c:\program files\QuickMediaConverter
2009-02-07 15:09 --------- d-----w c:\users\Coyote\AppData\Roaming\OpenOffice.org
2009-02-07 15:04 --------- d-----w c:\program files\OpenOffice.org 3
2009-02-07 14:55 --------- d-----w c:\program files\MediaCoder
2009-02-06 22:29 --------- d-----w c:\program files\AviSynth 2.5
2009-02-06 21:55 --------- d-----w c:\users\Coyote\AppData\Roaming\Apple Computer
2009-02-06 21:51 --------- d-----w c:\program files\QuickTime
2009-02-06 21:50 --------- d-----w c:\programdata\Apple Computer
2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
2009-02-06 17:52 49,504 ----a-w c:\windows\System32\sirenacm.dll
2009-02-06 17:08 55,280 ----a-w c:\windows\system32\drivers\fssfltr.sys
2009-02-05 21:06 51,792 ----a-w c:\windows\system32\drivers\aswMonFlt.sys
2009-02-03 16:37 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2009-02-03 08:17 410,984 ----a-w c:\windows\System32\deploytk.dll
2009-02-03 08:17 --------- d-----w c:\program files\Java
2009-02-03 08:02 --------- d-----w c:\program files\Common Files\Symantec Shared
2009-02-03 08:00 --------- d-----w c:\programdata\Symantec
2009-02-03 07:42 --------- d-----w c:\programdata\Microsoft Help
2009-01-26 10:56 --------- d-----w c:\users\Coyote\AppData\Roaming\Icone
2009-01-23 12:22 --------- d-----w c:\program files\SFR
2009-01-15 06:11 827,392 ----a-w c:\windows\System32\wininet.dll
2009-01-05 22:33 3,751,995 ----a-w c:\windows\System32\GPhotos.scr
2008-01-21 02:43 174 --sha-w c:\program files\desktop.ini
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-21 c:\windows\System32\oobefldr.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-17 1049896]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-09 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-09 92704]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-06-11 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-12 202032]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-03 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-02-06 155648]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

c:\users\Coyote\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.i420"= i420vfw.dll
"msacm.l3codecp"= l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{E12AFA54-90AC-4BD3-B046-2A12B604B87D}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play
"{27EAE061-E3DB-4F3E-A98F-7555A46D30C7}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"{A94880B9-5C43-47B9-BE94-1FFBCB8DCB9A}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{75031146-4CCA-4FB3-AFC1-9B4E2F0C5EDE}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C1966DDC-6432-4D29-8166-44C114C926ED}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{E9E5201F-C824-45AF-9A7A-9989896F934B}"= UDP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{F251489A-A000-4C05-A226-86641E15C1EF}"= TCP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{794EDBCA-BD8C-49D4-A004-9C259EEF6180}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"TCP Query User{25FBE02D-942C-41BD-AD3A-1C162C465779}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule Plus
"UDP Query User{2D1B52CD-532C-4086-B31D-8FC0B8F9D2E5}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule Plus
"{D97ED66B-E5BD-4E4C-A14F-C0ADD9811F03}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{98041A6A-B987-4A5A-9753-7BFFD25261DC}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"TCP Query User{A5585CCE-59E7-4B36-8E4E-D92F7365902E}c:\\program files\\utorrent\\utorrent.exe"= UDP:c:\program files\utorrent\utorrent.exe:µTorrent
"UDP Query User{05AA6CEE-9E3E-4F4D-AC1D-3DB584751512}c:\\program files\\utorrent\\utorrent.exe"= TCP:c:\program files\utorrent\utorrent.exe:µTorrent
"TCP Query User{183ECBA2-CE7E-4104-8974-F43322C5741E}c:\\program files\\utorrent\\utorrent.exe"= UDP:c:\program files\utorrent\utorrent.exe:µTorrent
"UDP Query User{15BA7694-DEB9-4748-83EF-BE7CABE353A7}c:\\program files\\utorrent\\utorrent.exe"= TCP:c:\program files\utorrent\utorrent.exe:µTorrent
"{C9A2FF53-16FD-48DF-87D9-22478F38E9CC}"= UDP:c:\windows\explorer.exe:explorer
"{FBBA70F4-34F6-47A2-B3AE-331D4071CEF3}"= TCP:c:\windows\explorer.exe:explorer
"{3455EBE0-8F1A-4DCD-AC3B-B2ABB401E9C8}"= UDP:c:\windows\explorer.exe:explorer
"{40438BE9-802B-4156-B30B-B917DAF00FD1}"= TCP:c:\windows\explorer.exe:explorer
"{B2FB101E-E345-45E3-A817-C72E53BA15C0}"= UDP:c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe:WiFiMsg
"{EEA25E15-CE12-4B0A-9DDE-1C0E69888794}"= TCP:c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe:WiFiMsg
"{5FBEFF38-72B9-40A0-B760-D27DDCCBD56C}"= UDP:c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe:WiFiMsg
"{A1696EDD-DDEF-4744-9B8C-A9A30AD8C97D}"= TCP:c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe:WiFiMsg

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2009-02-18 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [2009-02-18 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [2009-02-18 51792]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [2008-01-21 21504]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-07-08 361808]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-02-23 1153368]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-07-08 193840]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\System32\drivers\nvhda32v.sys [2008-06-09 43040]
S2 gupdate1c9911b63c96fa0;Service Google Update (gupdate1c9911b63c96fa0);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-17 133104]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [2009-02-16 55280]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Contenu du dossier 'Tâches planifiées'

2009-03-21 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-17 17:17]

2009-03-21 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-17 17:18]

2009-03-20 c:\windows\Tasks\User_Feed_Synchronization-{7E9B6AE9-9108-402D-BF51-D3FD7151FACC}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 03:24]

2009-03-21 c:\windows\Tasks\User_Feed_Synchronization-{8DB38969-4E59-41DA-A61E-75D999A10A3B}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 03:24]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{2C86C605-6081-D104-96F7-F765C20B22F1} - (no file)
BHO-{8237d7d1-9747-4ba7-9b27-ed358bb8b2b9} - c:\windows\system32\jmxcnt.dll
BHO-{cae1cc17-25cc-4cf6-864b-668aa2ea058d} - c:\windows\system32\vonineye.dll
HKCU-Run-acxzup - c:\users\coyote\appdata\local\acxzup.exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-21 13:02:44
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\System32\wlanext.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\System32\drivers\XAudio.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\System32\conime.exe
c:\windows\System32\rundll32.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Alwil Software\Avast4\ashDisp.exe
c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\windows\ehome\ehmsas.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2009-03-21 13:08:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-21 12:07:58

Avant-CF: 77 217 378 304 octets libres
Après-CF: 76,842,680,320 octets libres

257 --- E O F --- 2009-03-20 22:14:32
0
Réponse 26 / 52
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ensuite fait toute les autres étapes et poste moi bien les rapport.
0
Réponse 27 / 52
joluis40 Messages postés 78 Statut Membre 1
 
j'ai redemarrer en mode sans echec, mais je ne peux pas lancer la deuxieme étape de Navilog1, il me dit qu'avant de faire ça, je dois lancer l'étape 1 et envoyer le rapport au Helper qui m'a prit en charge.
0
Réponse 28 / 52
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
pour lui faire plaisir fait l'étape 1 mais ne m'envoye rien.
0
Réponse 29 / 52
joluis40 Messages postés 78 Statut Membre 1
 
j'ai relancé l'étape 1 et une fenetre apparait et dit : utilitaire (qgrep) de recherche de chaines de caracteres a cessé de fonctionner. windows va fermer ce programme.
0
Réponse 30 / 52
joluis40 Messages postés 78 Statut Membre 1
 
Que faire? je commence a désespérer, p..... de virus ! !!!!!! !! je ne comprends pas les gens qui "s'amuse" a pourrir le PC des autres.
0
Réponse 31 / 52
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Fait navilog en mode normale.
0
Réponse 32 / 52
joluis40 Messages postés 78 Statut Membre 1
 
Navilog en mode normal ne marche pas, le meme message apparait
0
Réponse 33 / 52
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
tu fait quel option dans navilog en mode normal?
0
Réponse 34 / 52
joluis40 Messages postés 78 Statut Membre 1
 
je fais l'option 1 car l'option 2 ne marche pas mais lorsque je lance l'option 1 le message de tout a l'heure apparait.
0
Réponse 35 / 52
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,

:Processes
explorer.exe

:Files
c:\windows\system32\eduyovan.ini
c:\windows\system32\fenoyoyu.dll
c:\windows\system32\jmxcnt.dll
c:\windows\system32\kafawagi.dll
c:\windows\system32\navoyude.dll
c:\windows\system32\tomuzipu.dll
c:\windows\system32\vapiwusa.dll
c:\windows\system32\vonineye.dll

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
0
Réponse 36 / 52
joluis40 Messages postés 78 Statut Membre 1
 
il m'en ressort ça :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder c:\windows\system32\eduyovan.ini not found.
File/Folder c:\windows\system32\fenoyoyu.dll not found.
File/Folder c:\windows\system32\jmxcnt.dll not found.
File/Folder c:\windows\system32\kafawagi.dll not found.
File/Folder c:\windows\system32\navoyude.dll not found.
File/Folder c:\windows\system32\tomuzipu.dll not found.
File/Folder c:\windows\system32\vapiwusa.dll not found.
File/Folder c:\windows\system32\vonineye.dll not found.
========== COMMANDS ==========
File delete failed. C:\Users\Coyote\AppData\Local\Temp\MessengerCache\uGTk7oQRPcKs9Bh92FMSgrP22FLEs= scheduled to be deleted on reboot.
File delete failed. C:\Users\Coyote\AppData\Local\Temp\ehmsas.txt scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03212009_212718

Files moved on Reboot...
C:\Users\Coyote\AppData\Local\Temp\MessengerCache\uGTk7oQRPcKs9Bh92FMSgrP22FLEs= moved successfully.
File move failed. C:\Users\Coyote\AppData\Local\Temp\ehmsas.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
0
Réponse 37 / 52
joluis40 Messages postés 78 Statut Membre 1
 
je t'ai envoyé le rapport, peux tu me dire quelle est la marche la suivre maintenant, s'il te plait?
0
Réponse 38 / 52
joluis40 Messages postés 78 Statut Membre 1
 
pimprenelle27

tu m'as déja beaucoup aidé mais je crois que mon problème n'est pas tout a fait résolu, je t'ai envoyé mon dernier rapport. peux tu m'aider a en finir avec ce virus, s'il te plait?!
0
Réponse 39 / 52
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Ca na pas marché bon on va essayer de faire celui :

Etape 1/ Télécharge :

- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur le Bureau.

Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/

Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
et l option 4 : Recherche Cracks / Keygens
cette recherche se fait sur le pc et sur les disques amovibles , il est donc important qu ils soient branché ..
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage

Si besoin: Tutoriel

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

0
Réponse 40 / 52
joluis40 Messages postés 78 Statut Membre 1
 
Voila les rapports de l'option 1 et 4

############################## [ FindyKill V4.720 ]

# User : Coyote (Administrateurs) # PC-DE-COYOTE
# Update on 22/03/09 by Chiquitine29
# Start at: 19:12:56 | 24/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Pentium(R) Dual CPU T3200 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 139,76 Go (70,65 Go free) # NTFS
# D:\ # Disque fixe local # 9,29 Go (1,69 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\SMINST\BLService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]

################## [ C:\Windows ]

################## [ C:\Windows\system32 ]

################## [ C:\Windows\system32\drivers ]

################## [ C:\.. Application Data ... ]

################## [ Registre / Clés infectieuses ]

################## [ Recherche dans supports amovibles]

# Presence des fichiers :

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.720 ! ]

################################### [ FindyKill V4.720 ]

# User : Coyote (Administrateurs) # PC-DE-COYOTE
# Update on 22/03/09 by Chiquitine29
# Start at: 19:15:15 | 24/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Pentium(R) Dual CPU T3200 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 139,76 Go (70,65 Go free) # NTFS
# D:\ # Disque fixe local # 9,29 Go (1,69 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM

################################### [ Cracks / Keygens ... ]

################## [ ! Fin du rapport # FindyKill V4.720 ! ]
0

Discussions similaires

symboles et écritures pour nick msn
Pando -
roro -

20 réponses
Que veut dire Msn
LoOuiiZee -
Bikadu75 -

4 réponses
signification de MSN
noisette2008 -
ysis -

6 réponses
Comment insérer correctement des caractères spéciaux ou émojis ?
Lia -
Cct -

45 réponses
que signifie abreviation msn
lilou -
Azerty -

5 réponses