mon pc rame, + pb de pub intempestive Résolu/Fermé

Question

Bonjour,

J'ai l'impression quemon pc rame et je suis de plus en plus embeté par des pubs intempestives malgré un pare feu, un antivirus eset nod 32, malwarebytes, spywreblaster, spybot searchdestroy. De plus, je pense que mon disque dur externe est vérollé car j'ai des fichiers insupprimables...

Ced_King · Answer

Salut, 

Telecharges RSIT " Random's System Information Tool " sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe 

- Fermes toutes les applications en cours et double clic sur RSIT.exe 
- Selectionnes " Continue " à l'ecran >> RSIT va analyser le pc et verifier si l'outil hijackthis ( version à jour) est present sur le pc, si ce n'est pas le cas, RSIT le telechargera >> acceptes la license 
- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent, log.txt à l'écran et info.txt dans la barre des taches 
- Postes le contenu des 2 rapports 
.

fafa49 · Answer

oki, voili voilou, merci pour votre rapidité

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-04-04 22:38:08
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 169 GB (89%) free of 191 GB
Total RAM: 511 MB (30% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:38:22, on 04/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\documents and settings\administrateur\local settings\application data\gagoyuk.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [OVCOMSReg] OVComS.exe /RegServer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [gagoyuk] "c:\documents and settings\administrateur\local settings\application data\gagoyuk.exe" gagoyuk
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - 
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - 
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Update Service (gupdate1c9885bffb08a2) (gupdate1c9885bffb08a2) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Ced_King · Answer

Telecharges Navilog1 sur ton bureau : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

- Desactives la grarde de ton Antivirus celle de ton (es) antispyware (s) 

- Pour Spybot --> clic sur  Mode -> avancé -> outil -> resident -> et decoches le " Tea-timer "

- Lances l'installation en executant le fichier téléchargé 
- Une fois installé, fermes tous les programmes en cours et double-cliques sur Navilog1.exe 
- Choisis la langue et presses la touche " entrée " de ton clavier 
- Une fenetre s'ouvre, presses 1 touche pour passer aux etapes suivantes 
- Le menu du fix s'ouvre, choisis l'option 1 et presses la touche " entrée " 
- Laisses le fix travailler et patientes jusqu'au message *** Analyse terminée le*** 
- Un rapport c:\fixnavi.txt s'etablira, postes son contenu... 
----

fafa49 · Answer

voici le rapport,

Search Navipromo version 3.7.6 commencé le 04/04/2009 à 22:58:54,39

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.40GHz )
BIOS : Award Modular BIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Not Activated)


C:\ (Local Disk) - NTFS - Total:186 Go (Free:165 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (Local Disk) - FAT32 - Total:465 Go (Free:432 Go)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gagoyuk"="\"c:\documents and settings\administrateur\local settings\application data\gagoyuk.exe\" gagoyuk"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" : 

gagoyuk.exe trouvé !
gagoyuk.dat trouvé !
gagoyuk_nav.dat trouvé !
gagoyuk_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 04/04/2009 à 23:00:51,14 ***

Ced_King · Answer

- Relances Navilog1 et choisis l'option2
- Laisses l'outil travailler et patientes jusqu'au message *** Nettoyage terminé le ***
- Un rapport cleanavi.txt sera généré, postes son contenu

                                                         ------------------

fafa49 · Answer

oki, c fait : 


Clean Navipromo version 3.7.6 commencé le 04/04/2009 à 23:10:20,85

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.40GHz )
BIOS : Award Modular BIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Not Activated)


C:\ (Local Disk) - NTFS - Total:186 Go (Free:165 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (Local Disk) - FAT32 - Total:465 Go (Free:432 Go)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)


Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


C:\WINDOWS\prefetch\gagoyuk*.pf trouvé ! 
Copie C:\WINDOWS\prefetch\gagoyuk*.pf réalisée avec succès !
C:\WINDOWS\prefetch\gagoyuk*.pf supprimé !


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 


gagoyuk.exe trouvé ! 
Copie gagoyuk.exe réalisée avec succès !
gagoyuk.exe supprimé !

gagoyuk.dat trouvé ! 
Copie gagoyuk.dat réalisée avec succès !
gagoyuk.dat supprimé !

gagoyuk_nav.dat trouvé ! 
Copie gagoyuk_nav.dat réalisée avec succès !
gagoyuk_nav.dat supprimé !

gagoyuk_navps.dat trouvé ! 
Copie gagoyuk_navps.dat réalisée avec succès !
gagoyuk_navps.dat supprimé !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 04/04/2009 à 23:13:41,09 ***

Ced_King · Answer

Telecharges Ccleaner : https://filehippo.com/download_ccleaner/ 

- Pendant l'installation, décoches la case proposant la barre Yahoo et celle proposant d'ajouter l'options des mises a jours.. 
- Une fois installé, fermes toutes les applications en cours et lances Ccleaner 
- clic sur mode avancé et décoche la case " effacer les fichiers du....plus vieux que 48h, ne touches pas aux autres parametres 
- Clic sur "Nettoyeur " >> " analyse " >> et lances le nettoyage, puis refermes le programme 

                                                            ----------------

* telecharge SDFix sur ton bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 

- Fermes toutes les applications en cours, puis double clic sur le raccourci de ton bureau 
- Clic sur " Install " pour l'extraire dans un dossier dedié 

- Redemarres ton pc en mode sans echec : 
- Au demarrage du pc, tapotes sur la touche F8 ou F5 du clavier juste aprés le bip du bios et avant le logo " windows " 
- Un ecran avec plusieurs choix apparaitra > selectionnes " mode sans echec " et valides par la touche " Entrée " de ton clavier 

- Une fois en " mode sans echec " , ouvres le fichier créé, puis double clic sur " Runthis.bat " 
- Une fenetre noir apparait, appuies sur la touche " Y " pour lancer le nettoyage 
- Le bureau va disparaitre, c'est normal 
- L'outil va travailler, patientes jusqu'à la fin du scan 
- Une fois terminé, Sdfix te signalera que l'ordi doit redemarrer, acceptes en pressant une touche.. 
- Le pc va redemarrer en mode normal, une fois ton bureau en place, il va générer un rapport 
- Sauvegardes le et poste son contenu ( tu le trouveras aussi à c:\report.txt) 

Note :

-Si SDfix ne se lance pas  --> ça peut arriver 
- clic sur Démarrer->Exécuter 
-  Copie/colle ceci dans la fenêtre : 

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe 


- Clique sur ok, et valide. 
- Redémarre et essaye de nouveau de lancer SDfix. 

....

Ced_King · Answer

• Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 
• Double-clique sur OTMoveIt3.exe afin de le lancer. 
• Copie/colle le texte en gras dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit ! : 



:processes 
explorer.exe 

:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mount
points2\{8cf486c2-59ae-11dd-9c08-806d6172696f}]

:files
C:\WINDOWS\system32\djfdoilhfgbhgklp.exe
C:\WINDOWS\system32\sebdavjrop.dll-uninst.exe

 :commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 




• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 

• Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles 
Le nom du rapport correspond au moment de sa création : date_heure.log

fafa49 · Answer

voili voilou,


[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 04/04/2009 at 23:45

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Administrateur\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\djfdoilhfgbhgklp.exe - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-04 23:51:02
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\ma-config.com\maconfservice.exe"="C:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 22 Oct 2008       949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008     1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Mon  7 Jul 2008     1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008     4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Thu  5 Mar 2009     2,260,480 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008       962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Mon 22 Dec 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6acede1e468d41897e38ed4288f48a59\download\BIT6643.tmp"

[b]Finished![/b]

fafa49 · Answer

j'avais réactivé tea timer de spybot, il ne fallait peut etre pas ?

Ced_King · Answer

Re, je t'ai envoyé OtmoveIt a faire avant ton rapport SDFix...

- Fais le, meme si il ne trouve pas ceci : C:\WINDOWS\system32\djfdoilhfgbhgklp.exe 

car SDFix la supprimer...

Ensuite :

 Telecharges Malwarebytes' Anti-Malware : 

http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

- Installe le > double-clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour 
- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes 
- Executes un examen rapide du pc ( tu n'auras pas accés à internet pendant l'analyse) 
- A la fin du scan clic sur " Afficher les resultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la selection " 
- Si il a besoin de redemarrer le pc pour finir la desinfection, acceptes 
- Un rapport s'etablira, postes son contenu. 
-------------------------------

Ced_King · Answer

Non, ne reactives pas le tea-timer avant la fin de la desinfection...

- Si tu la reactiver, acceptes tout ce qu'il te propose, mais je te conseille de virer ce tea-timer qui est gourmand en ressources et qui à mon gout ne sert à rien...

fafa49 · Answer

je n'ai pas saisi :

Re, je t'ai envoyé OtmoveIt a faire avant ton rapport SDFix... 

- Fais le, meme si il ne trouve pas ceci : C:\WINDOWS\system32\djfdoilhfgbhgklp.exe 

car SDFix la supprimer...

fafa49 · Answer

ah ok, suis blond ou un peu fatigué ! lol 

je fais

Ced_King · Answer

Regardes le post 8 !!!

fafa49 · Answer

je ne parviens pas à executer OTMoveIt3 jusqu'au bout, le pc bug, et le logiciel ne repond plus. meme si tout avait l'air de bien se passer

Ced_King · Answer

- Regardes à la racine du disque dur --> C:\_OTMoveIt\MovedFiles 

- Fais Malwarebytes, on verra ensuite...
.

Ced_King · Answer

il ne reste plus que le logiciel otmoveit et cette fenetre de forum...

- Il faut fermer toutes les applications et te deconnecter du net --> c'est à dire meme la page du forum !!!

fafa49 · Answer

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1940
Windows 5.1.2600 Service Pack 3

05/04/2009 00:42:05
mbam-log-2009-04-05 (00-42-05).txt

Type de recherche: Examen rapide
Eléments examinés: 64919
Temps écoulé: 2 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

fafa49 · Answer

ok, j'ai donc mait une analyse malware et ai posté le msg. il a supprimer et redémarré.

par contre, j'ai essayé OTMmoveit3 en étant déconnecté d'internet, et ca bug quand meme...

Ced_King · Answer

Telecharges Combofix et enregistres le sur ton bureau 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe - 

/!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\ 

- Deconnectes toi et fermes toutes les applications en cours 

-- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes en gras suivantes : 



KILLALL:: 

Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversio­n\explorer\mount 
points2\{8cf486c2-59ae-11dd-9c08-806d6172696f}] 

files:: 
C:\WINDOWS\system32\sebdavjrop.dll-uninst.exe 



- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers) 
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est). 
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important). 
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur le lien : 
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif 

( Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris). 
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide. 
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! 
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter ! 
- Une fois le scan achevé, un rapport va s'afficher: poste le stp. 
...

fafa49 · Answer

ComboFix 09-04-04.01 - Administrateur 2009-04-05 1:06:15.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.511.180 [GMT 2:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé * Resident AV is active . ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-04 au 2009-04-04 )))))))))))))))))))))))))))))))))))) . 2009-04-05 00:38 . 2009-04-05 00:38 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-04-05 00:38 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-05 00:38 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-05 00:13 . 2009-04-05 00:13 d-------- C:\_OTMoveIt 2009-04-04 23:43 . 2009-04-04 23:43 d-------- c:\windows\ERUNT 2009-04-04 23:26 . 2008-11-06 02:03 d-------- C:\SDFix 2009-04-04 23:24 . 2009-04-04 23:24 d-------- c:\program files\CCleaner 2009-04-04 22:57 . 2009-04-04 23:13 d-------- c:\program files\Navilog1 2009-04-04 22:38 . 2009-04-04 22:38 d-------- C: sit 2009-03-29 20:41 . 2009-03-29 20:41 d-------- c:\documents and settings\Administrateur\Application Data\dvdcss 2009-03-13 20:39 . 2009-03-13 20:39 d-------- c:\documents and settings\All Users\Application Data\iDeal Designer Hygena 2009-03-13 20:39 . 2009-03-13 20:39 d-------- c:\documents and settings\Administrateur\Application Data\2020 Fusion 2009-03-13 20:24 . 2009-03-13 20:24 d-------- c:\program files\Hygena . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-04 22:20 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-04-04 21:09 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP 2009-04-04 19:35 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater 2009-04-04 19:03 --------- d-----w c:\program files\SpywareBlaster 2009-03-31 16:48 --------- d-----w c:\program files\Java 2009-03-29 18:33 --------- d-----w c:\documents and settings\Administrateur\Application Data\uTorrent 2009-03-29 14:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\HP 2009-03-25 10:17 --------- d-----w c:\program files\TuneUp Utilities 2009 2009-03-11 20:10 --------- d-----w c:\documents and settings\Administrateur\Application Data\LimeWire 2009-03-11 13:52 --------- d-----w c:\program files\Spybot - Search & Destroy 2009-02-18 14:20 --------- d-----w c:\program files\Google 2008-11-11 14:59 19,691,416 ----a-w c:\program files\NOD 32 Antivirus V.3.0.642 Business Edition Prépatché (Valide 67 ans !).rar . ------- Sigcheck ------- 2008-04-30 11:00 361344 accf5a9a1ffaa490f33dba1c632b95e1 c:\windows\system32\drivers cpip.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-30 15360] "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-03-24 1488112] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-24 68856] "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "SoundMan"="SOUNDMAN.EXE" [2008-06-18 c:\windows\SoundMan.exe] "AlcWzrd"="ALCWZRD.EXE" [2008-06-19 c:\windows\alcwzrd.exe] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 c:\windows\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" [2008-04-30 c:\windows\system32\advpack.dll] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMHelp"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "DisablePagingExecutive"=dword:00000001 "SecondLevelDataCache"=dword:00000200 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-02-20 33800] R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2007-12-21 468224] S2 gupdate1c9885bffb08a2;Google Update Service (gupdate1c9885bffb08a2);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-06 133104] S2 TinaKey;TinaKey; [x] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cf486c2-59ae-11dd-9c08-806d6172696f}] \shell\play\Command - "c:\program files\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L" . Contenu du dossier 'Tâches planifiées' 2009-04-04 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-30 15:28] 2009-04-04 c:\windows\Tasks\GoogleUpdateTaskMachine.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-06 15:01] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-05 01:08:29 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*] "C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(1160) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\HP\Digital Imaging\bin\hpqste08.exe c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe . ************************************************************************** .voila le rapport, Heure de fin: 2009-04-05 1:10:13 - La machine a redémarré ComboFix-quarantined-files.txt 2009-04-04 23:10:10 Avant-CF: 177 339 383 808 octets libres Après-CF: 177,332,281,344 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect 160 --- E O F --- 2008-12-25 12:42:51

fafa49 · Answer

nouveau test malware , apparemment encore une bebete presente :

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1940
Windows 5.1.2600 Service Pack 3

05/04/2009 01:17:12
mbam-log-2009-04-05 (01-17-12).txt

Type de recherche: Examen rapide
Eléments examinés: 64764
Temps écoulé: 2 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Ced_King · Answer

- Tu n'as pas du faire ce qui était demandé avec le CFScript !!!

- Supprimes ce Nod 32 cracké, aurais tu l'idée de confier les clés de chez toi aux cambrioleurs ?

c:\program files\NOD 32 Antivirus V.3.0.642 Business Edition Prépatché (Valide 67 ans !).rar 


- Alors qu'il te suffit d'en prendre un en Freeware comme avira antivir par exemple

https://www.avira.com/   ( c'est ce que l'on fait de mieux en gratuit )

un tuto ici : https://www.malekal.com/avira-free-security-antivirus-gratuit/
.

fafa49 · Answer

ben il est po craké, c un nod sur internet

fafa49 · Answer

c koi un tuto ? j'avais avast avant, et un ami m'a chopé ca nod sur internet, je pensais que c'etait un tru gratuit

Ced_King · Answer

Ben il est po craké, c un nod sur internet

c:\program files\NOD 32 Antivirus V.3.0.642 Business Edition Prépatché (Valide 67 ans !).rar 

- Tu me crois tombé de la dernière pluie !!!

....

Ced_King · Answer

C koi un tuto ? j'avais avast avant, et un ami m'a chopé ca nod sur internet, je pensais que c'etait un tru gratuit

- La bonne vieille rengaine --> je l'ai vu 1000 et une fois celle-ci !!!

....

fafa49 · Answer

ben j'men doute mais c pourtant la triste vérité. suis po tres doué... et un tuto ... c koi en fait ?

Ced_King · Answer

et un tuto ... c koi en fait ?

Cliques sur le lien et tu t'en rendras comptes !!!

UN tuto --> un tutorial ou tutoriel --> afin de l'installer !!!

Tu liras ceci en meme temps :

https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

et :  https://forum.malekal.com/viewtopic.php?f=33&t=893

....

fafa49 · Answer

je sens que je t'ai vexé. je ne vais pas t'embeter plus longtemps. je ne sais pas si le probleme est résolu... je vais  prendre l'anivirus que tu m'as proposé puisque je viens de virer le nod.

fafa49 · Answer

pourtant, pour revenir a nod, je suis sur de l'avoir vu faire ca sur le net...  je savais que tu voyais ce que j'avais comme logiciel, et je connais la chartre de ce forum que j'apprécie, et je t'assure que j'y allais l'esprit serein

fafa49 · Answer

je vois que tu préfères cesser l'entretien. je te remercie en tout cas toi et ce forum pour ton aide. J'ai suivi tes recommandation pour l'antivirus. J'essaierais de reprendre demain apres le taf la manip pour savoir s'il y a encore une bebete..

Ced_King · Answer

Je sens que je t'ai vexé

- Nullement, c'est ton pc et tu en fais ce que tu veux, mais de là a me dire que tu ne savais pas, la marge est énorme !!!

- je vais prendre l'anivirus que tu m'as proposé puisque je viens de virer le nod.

- Si c'est ça, rien ne t'empeche de continuer la desinfection ici, c'est juste que je n'ai pas envie de tourner en rond..

- Toi meme, tu le dis en postant le second rapport Malwarebytes :

Nouveau test malware , apparemment encore une bebete presente 

- et non, c'est toujours la meme, mais tant que ce crack se trouvera sur ton pc, elle ne bougera pas !!!

Voilà, voili, voilou --> véxé moi, mort de rire !!! c'est ton pc et si un jour tu as la malchance de tomber sur Virut il faudra pas te plaindre, déjà que ta version XP n'est pas catholique alors pourquoi en rajouter...
.

fafa49 · Answer

message recu, j'ai lu tes liens.

fafa49 · Answer

a la par contre, j'avoue, je suis au courant pour la version windows. c ce meme ami qui me l'a filé. j'avais une license windows, mais j'ai voulu jouer les apprentis sorciers et j'ai formater le pc sans faire une copie des codes. je sais tu vas dire , quel tache ! ben oui. Chacun son taf, moi suis plus dans l'humain , les perf les gens qui vont po bien. D'ailleurs j'avais po vu l'heure et je bosse demain matin.

Mais je t'assure que je croyais que c'etait une version gratuite de nod. Bref, je ne vais po m'etendre la dessus. j'ai en tout cas installé l'antivirus que tu m'as conseillé. Par contre, ca n'est pas raisonable que je poursuive ce soir.. a moin que ca ne dure pas longtemps.. sinon, je reviendrais demain ou un de ces jours..

fafa49 · Answer

si je reprends a la suite de cette conversation demain ou un autre jour, on pourra retenter ? sans tout recommencer ?

Ced_King · Answer

Ok, à demain, je fatigues moi aussi

- si tu veux pas de problème, tant que tu suis les recommandations...

. ce que tu pourras déjà faire --> c'est lancer un scan avec avira antivir en mode sans echec

- puis on verra pour la suite

- Allez, sans rancunes et @ + si tu veux !
.

fafa49 · Answer

sans probleme, bonne soirée et merci encore.

bye et je reprendrai ici mais peut etre pas demain.

fafa49 · Answer

J'ai pas pu m'empecher de remettre le nez dedans ce matin. je bosse cet apres midi, alors je ne sais si je vais me lancer dans trop de manip. en tout cas, nouvelle analyse malware : Malwarebytes' Anti-Malware 1.35 Version de la base de données: 1940 Windows 5.1.2600 Service Pack 3 05/04/2009 10:53:42 mbam-log-2009-04-05 (10-53-42).txt Type de recherche: Examen rapide Eléments examinés: 65020 Temps écoulé: 6 minute(s), 15 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) De plus, analyse antivir qui a mis en quarantaine deux fichiers, RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 09:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Sélection de fichiers intelligente Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : dimanche 5 avril 2009 10:41 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'hprblog.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés Processus de recherche 'alcwzrd.exe' - '1' module(s) sont contrôlés Processus de recherche 'SoundMan.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '39' processus ont été contrôlés avec '39' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '52' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\System Volume Information\_restore{62520B38-E50D-4990-A29F-0DE24D260A78}\RP91\A0007111.exe [RESULTAT] Contient le modèle de détection du dropper DR/Zlob.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a087222.qua' ! C:\System Volume Information\_restore{62520B38-E50D-4990-A29F-0DE24D260A78}\RP91\A0007115.exe [RESULTAT] Contient le modèle de détection du dropper DR/Zlob.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a087227.qua' ! Fin de la recherche : dimanche 5 avril 2009 10:59 Temps nécessaire: 18:26 Minute(s) La recherche a été effectuée intégralement 4233 Les répertoires ont été contrôlés 158386 Des fichiers ont été contrôlés 2 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 2 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 158383 Fichiers non infectés 870 Les archives ont été contrôlées 5 Avertissements 2 Consignes Enfin, après ces manip, analyse par combofix avec connection internet coupée ComboFix 09-04-04.01 - Administrateur 2009-04-05 11:06:53.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.511.264 [GMT 2:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-05 au 2009-04-05 )))))))))))))))))))))))))))))))))))) . 2009-04-05 01:34 . 2009-04-05 01:34 d-------- c:\program files\Avira 2009-04-05 01:34 . 2009-04-05 01:34 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-04-05 00:38 . 2009-04-05 00:38 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-04-05 00:38 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-05 00:38 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-05 00:13 . 2009-04-05 00:13 d-------- C:\_OTMoveIt 2009-04-04 23:43 . 2009-04-04 23:43 d-------- c:\windows\ERUNT 2009-04-04 23:26 . 2008-11-06 02:03 d-------- C:\SDFix 2009-04-04 23:24 . 2009-04-04 23:24 d-------- c:\program files\CCleaner 2009-04-04 22:57 . 2009-04-04 23:13 d-------- c:\program files\Navilog1 2009-04-04 22:38 . 2009-04-04 22:38 d-------- C: sit 2009-03-29 20:41 . 2009-03-29 20:41 d-------- c:\documents and settings\Administrateur\Application Data\dvdcss 2009-03-13 20:39 . 2009-03-13 20:39 d-------- c:\documents and settings\All Users\Application Data\iDeal Designer Hygena 2009-03-13 20:39 . 2009-03-13 20:39 d-------- c:\documents and settings\Administrateur\Application Data\2020 Fusion 2009-03-13 20:24 . 2009-03-13 20:24 d-------- c:\program files\Hygena . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-04 22:20 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-04-04 21:09 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP 2009-04-04 19:35 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater 2009-04-04 19:03 --------- d-----w c:\program files\SpywareBlaster 2009-03-31 16:48 --------- d-----w c:\program files\Java 2009-03-29 18:33 --------- d-----w c:\documents and settings\Administrateur\Application Data\uTorrent 2009-03-29 14:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\HP 2009-03-25 10:17 --------- d-----w c:\program files\TuneUp Utilities 2009 2009-03-11 20:10 --------- d-----w c:\documents and settings\Administrateur\Application Data\LimeWire 2009-03-11 13:52 --------- d-----w c:\program files\Spybot - Search & Destroy 2009-02-18 14:20 --------- d-----w c:\program files\Google 2008-11-11 14:59 19,691,416 ----a-w c:\program files\NOD 32 Antivirus V.3.0.642 Business Edition Prépatché (Valide 67 ans !).rar . ------- Sigcheck ------- 2008-04-30 11:00 361344 accf5a9a1ffaa490f33dba1c632b95e1 c:\windows\system32\drivers cpip.sys . ((((((((((((((((((((((((((((( SnapShot@2009-04-05_ 1.09.21.18 ))))))))))))))))))))))))))))))))))))))))) . + 2008-05-09 10:15:47 45,376 ----a-w c:\windows\system32\drivers\avgntdd.sys + 2008-01-21 15:11:28 22,336 ----a-w c:\windows\system32\drivers\avgntmgr.sys + 2008-10-30 08:21:03 75,072 ----a-w c:\windows\system32\drivers\avipbb.sys + 2007-11-08 16:03:26 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys + 2009-04-05 09:08:48 16,384 ------w c:\windows emp\Perflib_Perfdata_594.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-30 15360] "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-03-24 1488112] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-24 68856] "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "SoundMan"="SOUNDMAN.EXE" [2008-06-18 c:\windows\SoundMan.exe] "AlcWzrd"="ALCWZRD.EXE" [2008-06-19 c:\windows\alcwzrd.exe] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 c:\windows\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" [2008-04-30 c:\windows\system32\advpack.dll] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMHelp"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "DisablePagingExecutive"=dword:00000001 "SecondLevelDataCache"=dword:00000200 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= S2 gupdate1c9885bffb08a2;Google Update Service (gupdate1c9885bffb08a2);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-06 133104] S2 TinaKey;TinaKey; [x] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cf486c2-59ae-11dd-9c08-806d6172696f}] \shell\play\Command - "c:\program files\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L" . Contenu du dossier 'Tâches planifiées' 2009-04-05 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-30 15:28] 2009-04-05 c:\windows\Tasks\GoogleUpdateTaskMachine.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-06 15:01] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-05 11:11:33 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~ *] "C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(528) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\ati2evxx.exe c:\windows\system32\wscntfy.exe c:\program files\HP\Digital Imaging\bin\hpqste08.exe c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe . ************************************************************************** . Heure de fin: 2009-04-05 11:13:08 - La machine a redémarré ComboFix-quarantined-files.txt 2009-04-05 09:13:05 ComboFix2.txt 2009-04-04 23:58:15 ComboFix3.txt 2009-04-04 23:10:15 Avant-CF: 177 225 461 760 octets libres Après-CF: 177,214,783,488 octets libres 164 --- E O F --- 2008-12-25 12:42:51 Peut etre a bientot Ced_King

fafa49 · Answer

ced_King

Tupeux me laisser des instructions que j'effectuerais a distance ou en tepms reel fonction du taf...

Ced_King · Answer

Telecharges Toolscleaner2 sur ton bureau : 
http://pc-system.fr/ 

- Cliques sur " Recherche " et patientes 
- Ciques ensuites sur" supprimer " pour finaliser 
- Clic sur exit >> un rapport sera généré, postes son contenu 

------------------------------- 
Mets Adobe à jour : ( n'installes pas la barre d'outil google, décoches la) 
https://get2.adobe.com/reader/otherversions/ 

--------------------- 
* Installes la dernière version de Java : 
https://www.java.com/fr/download/manual.jsp 

------------------- 
* Une fois à jour, télécharges JavaRa.zip 
http://raproducts.org/click/click.php?id=1 
---> Autorise le processus a se connecter si il te le demande 
. Cliques sur Install et suis les instructions 

- Quand l'installation est finie, reviens à l'écran JavaRa 

-Clic sur " Remove Old Versions " ou " recherches d'anciennes versions " --> cliques sur " oui " 

-l'outil va travailler, cliques ensuite sur " Ok " et à nouveau sur Ok 

- Un rapport s'ouvrira, refermes l'application puis postes le 

- Met un coup de ccleaner >> Analyse + nettoyage

- Puis cliques sur " Registres " --> chercher des erreurs, puis reparer les erreurs jusqu'à ce qu'il n'y en ai plus
( sauvegardes le registre, tu le supprimeras quand tu seras sur que le pc tourne bien)

---------------------
Pour etre sure, car ton pc était bien infecté :
 
 - Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer) 

- En bas à droite, clique sur Démarrer Online-scanner 

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte 

- Accepte les Contrôles ActiveX 

- Choisis Poste de travail pour le scan. 

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport 

- Pour t'aider à utiliser le scan en ligne : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne. 
---------------------

fafa49 · Answer

aie... me suis perdu dans java...

rapport tool

[ Rapport ToolsCleaner version 2.3.4 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !

fafa49 · Answer

j'ai fait l'analyse en ligne kapersky qui n'a détecté aucu nuisible meme si je n'ai pu faire une image du rapport, pourtant, au malware :

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1945
Windows 5.1.2600 Service Pack 3

06/04/2009 23:03:46
mbam-log-2009-04-06 (23-03-46).txt

Type de recherche: Examen rapide
Eléments examinés: 65073
Temps écoulé: 2 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Ced_King · Answer

Salut,

J'ai fait l'analyse en ligne kapersky qui n'a détecté aucu nuisible meme si je n'ai pu faire une image du rapport, pourtant, au malware : 

- Rapport Combofix, 2eme passage :

a-w c:\program files\NOD 32 Antivirus V.3.0.642 Business Edition Prépatché (Valide 67 ans !).rar 

---> Sans commentaire !!! tiens moi au courant quand tu seras décidé a le virer ou tu peux aussi mettre ce topic en " résolu "...

- Fais quand meme ceci : Clique sur Démarrer puis Exécuter. Tapes combofix /u dans la zone de saisie puis OK. 
- ( il y a un espace entre combofix et /u) 

-----

fafa49 · Answer

euh ... disons que j'ai juste désinstallé avec ajout suppression de programme. j'avais po vu mais tu ne vas pas me croire qu'il restait un fichier.

Ced_King · Answer

Ok, supprimes le et relances Malwarebytes pour voir...

fafa49 · Answer

étonnant, j'y crois guère, aucun nuisible retrouvé... pour le moment... 


Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1948
Windows 5.1.2600 Service Pack 3

07/04/2009 19:03:37
mbam-log-2009-04-07 (19-03-37).txt

Type de recherche: Examen rapide
Eléments examinés: 65814
Temps écoulé: 2 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

fafa49 · Answer

analyse malware ce jour, aucun nuisible... apparemment, pc sain.

Ced_King · Answer

Salut,

- Normal tu as viré ton crack Nod32, franchement aurais tu l'idée de confier les clés de chez toi à un cambrioleur par exemple?

- Pour terminer, tu vas d'abord vider les quarantaines ( antivir et Malwarebytes)

- Puis, il faut purger la restauration systeme et créer un point de resto..
 
- Désactives et reactives ta restauration systeme :

cliques sur" Démarrer".

Cliques droit sur " Poste de travail" puis cliques sur" Propriétés".

Dans l'onglet " Restauration du système ", coche "Désactiver la Restauration du système".

Cliques sur "Appliquer".

Ensuite décoches  "Désactiver la restauration du systeme."

cliques sur  " appliquer " puis sur  ok

- Puis reactives la en creant un nouveau point de restauration :

 http://bibou0007.com/tutos-f45/purger-la-restauration-du-systeme-t151.htm 

- créer un nouveau point de restauration, pour cela :

Cliques sur Démarrer -->  Tous les programmes--> Accessoires --> Outils système --> Restauration du système.

Choisis l'option " Créer un point de restauration puis cliques sur "Suivant ".

- Nommes le "fafa49 08/04/09 " afin de te souvenir au cas ou...

- Un tuto ici :  https://www.malekal.com/la-restauration-du-systeme-sous-windows-xp-2/ 

- Tu peux aussi supprimer les anciens points de restauration si présents :

Cliques sur Démarrer --> Poste de travail. -->cliques droit sur la lettre d'un de tes disques durs --> cliques sur Propriétés --> dans l'onglet "général", cliques sur" Nettoyage de disque".

-Puis, Cliques ensuite sur --> "Autres options "puis sur " Nettoyer les ... dans la rubrique-->" Restauration du système".

Valides --> une boîte de dialogue s'affiche --> cliques sur " Oui ". Fermes ensuite la fenêtre --> " Nettoyage de disque "en cliquant sur le bouton "OK".

- Fais le pour chacun de tes disques ou partitions dans " Poste de travail"

Note : prends soins de ne pas supprimer le nouveau point créé

                                                                    ---------------------------

- Au sujet des cracks et des telechargements P2P, je te conseilles de prendre du temps pour lire ceci :

 https://forum.malekal.com/viewtopic.php?f=33&t=893 

 https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

 http://www.libellules.ch/... 

- De nouvelles lois ont été récemments appliquées...

                                                                    ----------------------------

- Des outils que je t'ai fais téléchargés, il ne devrait te rester que Malwarebytes et Ccleaner, normalement...

- Pour le reste ( combofix et autres...) il s'agit de Fix et je te déconseilles d'en garder sur ton pc, de toute façon ils ne te serviraient à rien puisqu'ils sont mis à jour régulièrement et deviendraient donc automatiquement obsolètes...
                                                                     -------------------------

- Si tu as d'autres questions a poser, ou un quelconque souci, je suis prét a te répondre...

- Si tu estimes ne plus avoir de problèmes, je te demanderais de mettre ce post en "Résolu", pour cela :

A droite du message initial, tu as une case "Statut". Tu n'as plus qu'à cocher "résolu" puis "ok".

.

fafa49 · Answer

je te remercie de ton aide. J'ai bien lu tes conseils et me suis rendu compte des effets cracks. j'ai d'ailleurs conseillé à la personne qui m'avait installé nod 32 de le virer. merci de ta patience, et merci à ce forum.

Mon pc rame, + pb de pub intempestive

51 réponses

Newsletters