Virus msn myspace
dj50mad
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Comme beaucoup d'autre j'ai chopé un virus sur msn via un message qu'on m'a envoyer j'ai cliqué sur le lien qui disait " myspace etc....", j'ai regarder les differents topic à ce sujet j'ai lu qu'il faillait que je telecharge hijack et poster le scan je crois donc le voici, merci d'avance pour votre aide!!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:07, on 09/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\S3trayp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\fxsteller.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
c:\program files\logitech\quickcam\lu\lulnchr.exe
c:\program files\logitech\quickcam\lu\LogitechUpdate.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C50DEF11-4CF8-4631-887C-5BB348F17839} - C:\WINDOWS\system32\jkhfc.dll (file missing)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\atgban.dll" DllStart
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [Windows UDP Control Center] fxsteller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
Comme beaucoup d'autre j'ai chopé un virus sur msn via un message qu'on m'a envoyer j'ai cliqué sur le lien qui disait " myspace etc....", j'ai regarder les differents topic à ce sujet j'ai lu qu'il faillait que je telecharge hijack et poster le scan je crois donc le voici, merci d'avance pour votre aide!!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:07, on 09/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\S3trayp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\fxsteller.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
c:\program files\logitech\quickcam\lu\lulnchr.exe
c:\program files\logitech\quickcam\lu\LogitechUpdate.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C50DEF11-4CF8-4631-887C-5BB348F17839} - C:\WINDOWS\system32\jkhfc.dll (file missing)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\atgban.dll" DllStart
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [Windows UDP Control Center] fxsteller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
A voir également:
- Virus msn myspace
- Virus mcafee - Accueil - Piratage
- Telecharger msn - Télécharger - Messagerie
- Msn messenger - Télécharger - Messagerie
- Virus facebook demande d'amis - Accueil - Facebook
- Msn explorer - Télécharger - Divers Web & Internet
11 réponses
Salut !
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec mais sans passer par le msconfig !! Suis cette procédure :
===En Mode Sans Échec===
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec mais sans passer par le msconfig !! Suis cette procédure :
• Redémarre ton ordinateur • Tout de suite après le bip de démarrage, tapote la touche F8 (une pression par seconde). • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". • Choisis ton compte.
===En Mode Sans Échec===
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.
Voilà c'est suivi ce que tu m'a dit de faire rico voici le rapport
[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 09/04/2009 at 18:27
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\Temp\1cb\syscheck.log - Deleted
C:\WINDOWS\system32\msnav32.ax - Deleted
C:\WINDOWS\system32\pac.txt - Deleted
C:\WINDOWS\system32\targetedbanner-uninst.exe - Deleted
Folder C:\Temp\1cb - Removed
Folder C:\Temp\gbRve12 - Removed
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-09 18:34:46
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d151a4]
"0023f1049dc4"=hex:84,a2,8d,bd,7d,2b,51,09,27,a9,c7,8e,21,1c,42,01
"0023453032af"=hex:0a,de,ef,58,60,4a,b8,3d,c1,5e,43,60,01,83,92,29
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060d151a4]
"0023f1049dc4"=hex:84,a2,8d,bd,7d,2b,51,09,27,a9,c7,8e,21,1c,42,01
"0023453032af"=hex:0a,de,ef,58,60,4a,b8,3d,c1,5e,43,60,01,83,92,29
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire 4.16.6"
"C:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"="C:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe:*:Enabled:avast! Antivirus"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Disabled:iTunes"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Thu 9 Apr 2009 38,962 ..SHR --- "C:\WINDOWS\fxsteller.exe"
Sun 23 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 25 Mar 2008 1,549,916 ..SH. --- "C:\Documents and Settings\client\Local Settings\Temp\niwffmcw.tmp"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\client\Application Data\U3\temp\Launchpad Removal.exe"
[b]Finished![/b]
[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 09/04/2009 at 18:27
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\Temp\1cb\syscheck.log - Deleted
C:\WINDOWS\system32\msnav32.ax - Deleted
C:\WINDOWS\system32\pac.txt - Deleted
C:\WINDOWS\system32\targetedbanner-uninst.exe - Deleted
Folder C:\Temp\1cb - Removed
Folder C:\Temp\gbRve12 - Removed
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-09 18:34:46
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d151a4]
"0023f1049dc4"=hex:84,a2,8d,bd,7d,2b,51,09,27,a9,c7,8e,21,1c,42,01
"0023453032af"=hex:0a,de,ef,58,60,4a,b8,3d,c1,5e,43,60,01,83,92,29
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060d151a4]
"0023f1049dc4"=hex:84,a2,8d,bd,7d,2b,51,09,27,a9,c7,8e,21,1c,42,01
"0023453032af"=hex:0a,de,ef,58,60,4a,b8,3d,c1,5e,43,60,01,83,92,29
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire 4.16.6"
"C:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"="C:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe:*:Enabled:avast! Antivirus"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Disabled:iTunes"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Thu 9 Apr 2009 38,962 ..SHR --- "C:\WINDOWS\fxsteller.exe"
Sun 23 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 25 Mar 2008 1,549,916 ..SH. --- "C:\Documents and Settings\client\Local Settings\Temp\niwffmcw.tmp"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\client\Application Data\U3\temp\Launchpad Removal.exe"
[b]Finished![/b]
Bien !
Fais ceci:
Télécharge Malwarebytes Anti-Malware (MBAM):
MBAM
Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.
Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".
Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".
Poste le rapport généré.
A++ ;)
Fais ceci:
Télécharge Malwarebytes Anti-Malware (MBAM):
MBAM
Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.
Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".
Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".
Poste le rapport généré.
A++ ;)
Alors voici le rapport
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1958
Windows 5.1.2600 Service Pack 2
09/04/2009 18:53:59
mbam-log-2009-04-09 (18-53-59).txt
Type de recherche: Examen rapide
Eléments examinés: 72987
Temps écoulé: 5 minute(s), 57 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{cfcec0a5-e1da-4049-bdb6-8b461e7e1bf3} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{2386c4d3-e53a-4fd6-952b-89cbca337c83} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{16b435f6-b6ce-4f24-a568-944b27ed919c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Quantic (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\client\Local Settings\Application Data\okquc_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\client\Local Settings\Application Data\okquc_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\client\Local Settings\Application Data\okquc.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\client\Local Settings\Application Data\okquc.exe (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\fxsteller.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\allo planete\Local Settings\Temp\IXP000.TMP\HIDDEN~1.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1958
Windows 5.1.2600 Service Pack 2
09/04/2009 18:53:59
mbam-log-2009-04-09 (18-53-59).txt
Type de recherche: Examen rapide
Eléments examinés: 72987
Temps écoulé: 5 minute(s), 57 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{cfcec0a5-e1da-4049-bdb6-8b461e7e1bf3} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{2386c4d3-e53a-4fd6-952b-89cbca337c83} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{16b435f6-b6ce-4f24-a568-944b27ed919c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Quantic (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\client\Local Settings\Application Data\okquc_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\client\Local Settings\Application Data\okquc_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\client\Local Settings\Application Data\okquc.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\client\Local Settings\Application Data\okquc.exe (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\fxsteller.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\allo planete\Local Settings\Temp\IXP000.TMP\HIDDEN~1.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok! Je vais devoir quitter, je te laisse une procédure, je verrai la suite après :
Télécharge sur le bureau navilog1
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Double-clique sur le raccourci "navilog1" sur ton bureau.
(Si Vista: Clique-droit + "Exécuter en tant qu'administrateur)
Appuie sur la lettre f de ton clavier puis sur la touche Entrée.
Appuie sur une touche de ton clavier pour continuer...
Tape 1, puis appuie sur la touche Entrée.
Ainsi Navilog1 va effectuer la recherche des fichiers infectieux:
/!\ NE PAS UTILISER L'OPTION 2, 3, 4 SANS AVIS /!\
Patiente, cela peut prendre une dizaine de minutes...
Navilog1 t'informera que la recherche est terminée :
Appuie sur une touche pour afficher le rapport qu'il a généré.
Le rapport sera sauvegardé dans le fichier suivant : "fixnavi.txt" à la racine
du disque dur (ex : C:\fixnavi.txt).
Poste le rapport généré.
Télécharge sur le bureau navilog1
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Double-clique sur le raccourci "navilog1" sur ton bureau.
(Si Vista: Clique-droit + "Exécuter en tant qu'administrateur)
Appuie sur la lettre f de ton clavier puis sur la touche Entrée.
Appuie sur une touche de ton clavier pour continuer...
Tape 1, puis appuie sur la touche Entrée.
Ainsi Navilog1 va effectuer la recherche des fichiers infectieux:
/!\ NE PAS UTILISER L'OPTION 2, 3, 4 SANS AVIS /!\
Patiente, cela peut prendre une dizaine de minutes...
Navilog1 t'informera que la recherche est terminée :
Appuie sur une touche pour afficher le rapport qu'il a généré.
Le rapport sera sauvegardé dans le fichier suivant : "fixnavi.txt" à la racine
du disque dur (ex : C:\fixnavi.txt).
Poste le rapport généré.
Voilà le dernier rapport
Search Navipromo version 3.7.6 commencé le 09/04/2009 à 19:03:45,78
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3000+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : allo planete ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 090409-0] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:28 Go)
D:\ (Local Disk)
E:\ (CD or DVD)
Recherche executé en mode normal
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\client\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\locals~1\applic~1" ***
Search Navipromo version 3.7.6 commencé le 09/04/2009 à 19:03:45,78
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3000+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : allo planete ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 090409-0] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:28 Go)
D:\ (Local Disk)
E:\ (CD or DVD)
Recherche executé en mode normal
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\client\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\locals~1\applic~1" ***
Yep voici le rapport complet
Search Navipromo version 3.7.6 commencé le 09/04/2009 à 19:03:45,78
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3000+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : allo planete ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 090409-0] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:28 Go)
D:\ (Local Disk)
E:\ (CD or DVD)
Recherche executé en mode normal
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\client\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\client\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\client\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\allo planete\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\client\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\allo planete\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\client\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
C:\WINDOWS\system32\cfhkj.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
*** Analyse terminée le 09/04/2009 à 19:12:38,90 ***
Search Navipromo version 3.7.6 commencé le 09/04/2009 à 19:03:45,78
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3000+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : allo planete ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 090409-0] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:28 Go)
D:\ (Local Disk)
E:\ (CD or DVD)
Recherche executé en mode normal
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\client\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\client\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\allo planete\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\client\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\allo planete\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\client\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\allo planete\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\client\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
C:\WINDOWS\system32\cfhkj.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
*** Analyse terminée le 09/04/2009 à 19:12:38,90 ***
Salut !
Bien, apparemment, MBAM a supprimé l'infection Navipromo. Cependant, il reste une infection Vundo détectée par Navilog que MBAM a laissé passer.
/!\ A l'attention de ceux qui passent sur ce sujet : L'outil qui suit ne doit pas être utilisé sans avis /!\
/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\
Télécharge ComboFix (de sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE!.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)
-->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Bien, apparemment, MBAM a supprimé l'infection Navipromo. Cependant, il reste une infection Vundo détectée par Navilog que MBAM a laissé passer.
/!\ A l'attention de ceux qui passent sur ce sujet : L'outil qui suit ne doit pas être utilisé sans avis /!\
/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\
Télécharge ComboFix (de sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE!.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)
-->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Merci rico, voici le rapport après combofix
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\client\Application Data\msnf2.exe
c:\documents and settings\client\Application Data\msnf3.exe
c:\documents and settings\client\Menu Démarrer\Programmes\Démarrage\DW_Start.lnk
c:\windows\system32\cfhkj.ini
c:\windows\system32\cfhkj.ini2
c:\windows\system32\ext
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-11 au 2009-04-11 ))))))))))))))))))))))))))))))))))))
.
2009-04-10 19:06 . 2008-12-17 07:55 195,096 --a------ c:\windows\system32\lvci11901262.dll
2009-04-10 18:29 . 2009-04-10 18:29 <REP> d-------- c:\program files\Emtec.No
2009-04-10 18:29 . 2000-05-22 01:00 1,066,176 --a------ c:\windows\system32\MSCOMCTL.OCX
2009-04-10 18:29 . 2000-05-21 23:00 608,448 --------- c:\windows\system32\COMCTL32.OCX
2009-04-10 18:29 . 2000-11-27 06:30 405,504 --a------ c:\windows\system32\SWFLASH.OCX
2009-04-10 18:29 . 2000-05-17 16:47 225,280 --a------ c:\windows\system32\AS-Exp2.ocx
2009-04-10 18:29 . 1999-05-07 00:00 209,408 --a------ c:\windows\system32\TABCTL32.OCX
2009-04-10 18:29 . 2000-05-22 01:00 203,976 --a------ c:\windows\system32\RICHTX32.OCX
2009-04-10 18:29 . 1999-05-07 00:00 140,288 --a------ c:\windows\system32\comdlg32.ocx
2009-04-10 18:29 . 2002-01-10 12:06 65,536 --a------ c:\windows\system32\prjChameleon.ocx
2009-04-10 18:29 . 1996-02-18 15:41 22,528 --a------ c:\windows\system32\ICONTRAY.OCX
2009-04-09 19:02 . 2009-04-09 19:14 <REP> d-------- c:\program files\Navilog1
2009-04-09 18:46 . 2009-04-09 18:46 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-09 18:46 . 2009-04-09 18:46 <REP> d-------- c:\documents and settings\allo planete\Application Data\Malwarebytes
2009-04-09 18:46 . 2009-04-09 18:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-09 18:46 . 2009-04-06 15:32 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-09 18:46 . 2009-04-06 15:32 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-09 18:24 . 2009-04-09 18:25 <REP> d-------- c:\windows\ERUNT
2009-04-09 18:23 . 2007-12-04 19:53 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-04-09 18:23 . 2007-12-04 19:53 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-04-09 18:23 . 2007-12-04 18:59 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-04-09 18:23 . 2007-12-04 19:53 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-04-09 18:23 . 2007-12-04 19:53 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-04-09 18:23 . 2007-12-04 19:53 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-04-09 18:23 . 2009-04-09 18:25 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-04-09 18:23 . 2009-04-09 18:23 <REP> d-------- c:\documents and settings\Administrateur
2009-04-09 18:18 . 2009-04-09 18:38 <REP> d-------- C:\SDFix
2009-04-09 15:55 . 2009-04-09 15:55 <REP> d-------- c:\program files\AxBx
2009-04-09 15:46 . 2009-04-09 15:46 <REP> d-------- c:\program files\Trend Micro
2009-04-09 15:37 . 2009-04-09 15:39 <REP> d-------- c:\program files\Spyware Doctor
2009-04-09 15:37 . 2009-04-09 15:38 <REP> d-------- c:\program files\Fichiers communs\PC Tools
2009-04-09 15:37 . 2009-04-09 15:37 <REP> d-------- c:\documents and settings\allo planete\Application Data\PC Tools
2009-04-09 15:37 . 2009-04-09 15:47 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-04-09 15:37 . 2009-04-09 15:37 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Tools
2009-04-09 15:37 . 2008-12-11 08:38 159,600 --a------ c:\windows\system32\drivers\pctgntdi.sys
2009-04-09 15:37 . 2009-03-06 16:45 130,424 --a------ c:\windows\system32\drivers\PCTCore.sys
2009-04-09 15:37 . 2008-12-18 12:16 73,840 --a------ c:\windows\system32\drivers\PCTAppEvent.sys
2009-04-09 15:37 . 2008-12-10 12:36 64,392 --a------ c:\windows\system32\drivers\pctplsg.sys
2009-03-22 02:27 . 2009-04-03 16:28 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-22 02:27 . 2009-03-22 02:27 1,409 --a------ c:\windows\QTFont.for
2009-03-15 01:56 . 2009-03-15 02:13 <REP> d-------- c:\windows\system32\CatRoot_bak
2009-03-14 16:43 . 2009-03-14 16:43 <REP> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-03-14 16:40 . 2009-03-14 16:40 <REP> d-------- c:\program files\MSXML 4.0
2009-03-11 12:18 . 2009-04-11 11:23 <REP> d-------- c:\documents and settings\allo planete\Application Data\skypePM
2009-03-11 12:18 . 2009-03-11 12:18 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-03-11 12:16 . 2009-04-11 11:24 <REP> d-------- c:\documents and settings\allo planete\Application Data\Skype
2009-03-11 12:15 . 2009-03-11 12:15 <REP> dr------- c:\program files\Skype
2009-03-11 12:15 . 2009-03-11 12:15 <REP> d-------- c:\program files\Fichiers communs\Skype
2009-03-11 12:15 . 2009-03-11 12:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Skype
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-11 09:22 0 ----a-w c:\windows\system32\drivers\logiflt.iad
2009-04-10 17:07 --------- d-----w c:\program files\Fichiers communs\LogiShrd
2009-04-10 17:04 --------- d-----w c:\program files\Logitech
2009-04-10 17:03 --------- d-----w c:\documents and settings\All Users\Application Data\Logishrd
2009-04-10 13:20 0 ----a-w c:\windows\system32\drivers\lvuvc.hs
2009-03-13 17:18 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-13 17:17 --------- d-----w c:\program files\Fichiers communs\AVSMedia
2009-03-13 17:14 --------- d-----w c:\program files\Nokia
2009-03-13 17:12 --------- d-----w c:\documents and settings\All Users\Application Data\Downloaded Installations
2009-03-13 17:11 --------- d-----w c:\program files\Yahoo!
2009-03-05 13:53 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2009-03-05 13:52 --------- d-----w c:\documents and settings\allo planete\Application Data\Leadertech
2009-03-05 13:48 --------- d-----w c:\documents and settings\All Users\Application Data\Logitech
2009-03-05 11:06 --------- d-----w c:\documents and settings\client\Application Data\msnf3
2009-03-04 14:55 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-02-26 16:04 --------- d-----w c:\program files\Windows Live
2009-02-26 15:59 --------- d-----w c:\program files\Windows Live SkyDrive
2009-02-26 15:59 --------- d-----w c:\program files\Microsoft
2009-02-26 15:51 --------- d-----w c:\program files\Fichiers communs\Windows Live
2009-02-26 10:37 --------- d-----w c:\program files\QuickTime
2009-02-26 10:37 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-02-26 10:36 --------- d-----w c:\program files\Apple Software Update
2009-02-26 10:36 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
2008-12-31 10:14 2,016,584 ----a-w c:\documents and settings\client\Application Data\msnf.exe
2008-12-31 08:47 2,016,568 ----a-w c:\documents and settings\client\Application Data\mssf.exe
2008-12-29 17:43 61,440 ----a-w c:\documents and settings\client\Application Data\sf.exe
2008-12-28 17:52 1,909,451 ----a-w c:\documents and settings\client\Application Data\hdff.exe
2008-11-23 15:24 26,112 ----a-w c:\documents and settings\client\Application Data\dms.exe
2008-11-09 09:01 21,584 ----a-w c:\documents and settings\client\Application Data\k.exe
2008-11-09 09:01 1,909,451 -c--a-w c:\documents and settings\client\Application Data\hdf.exe
2008-11-09 09:00 45,672 -c--a-w c:\documents and settings\client\Application Data\uptime.exe
2008-11-09 09:00 2,827,492 -c--a-w c:\documents and settings\client\Application Data\finalssf.exe
2008-11-09 08:59 2,438,299 ----a-w c:\documents and settings\client\Application Data\tmobd.exe
2009-02-27 17:03 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2009-02-27 17:03 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2009-02-27 17:03 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2009-02-27 17:03 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2009-02-27 17:03 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-02-04 23975720]
"AdobeUpdater"="c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2009-02-27 2356088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-02-23 278528]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-10-19 286720]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"VTTimer"="VTTimer.exe" [2006-09-21 c:\windows\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2007-06-11 c:\windows\system32\S3Trayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 c:\windows\soundman.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 c:\windows\system32\bthprops.cpl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-03-05 66864]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 04:06 40048 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 c:\program files\Messenger\msmsgs.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-04-09 130424]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-24 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-24 20560]
R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [2007-12-04 714240]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-04-09 348752]
.
Contenu du dossier 'Tâches planifiées'
2009-04-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{C50DEF11-4CF8-4631-887C-5BB348F17839} - c:\windows\system32\jkhfc.dll
MSConfigStartUp-NSLauncher - c:\program files\Nokia\Nokia Software Launcher\NSLauncher.exe
MSConfigStartUp-PcSync - c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe
MSConfigStartUp-Yahoo! Pager - c:\progra~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\documents and settings\allo planete\Application Data\Mozilla\Firefox\Profiles\i7d9pgxi.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
.
**************************************************************************
catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-11 11:24:29
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Heure de fin: 2009-04-11 11:27:20 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-11 09:27:16
Avant-CF: 29 924 577 280 octets libres
Après-CF: 30,378,381,312 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
211 --- E O F --- 2009-03-14 14:45:58
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\client\Application Data\msnf2.exe
c:\documents and settings\client\Application Data\msnf3.exe
c:\documents and settings\client\Menu Démarrer\Programmes\Démarrage\DW_Start.lnk
c:\windows\system32\cfhkj.ini
c:\windows\system32\cfhkj.ini2
c:\windows\system32\ext
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-11 au 2009-04-11 ))))))))))))))))))))))))))))))))))))
.
2009-04-10 19:06 . 2008-12-17 07:55 195,096 --a------ c:\windows\system32\lvci11901262.dll
2009-04-10 18:29 . 2009-04-10 18:29 <REP> d-------- c:\program files\Emtec.No
2009-04-10 18:29 . 2000-05-22 01:00 1,066,176 --a------ c:\windows\system32\MSCOMCTL.OCX
2009-04-10 18:29 . 2000-05-21 23:00 608,448 --------- c:\windows\system32\COMCTL32.OCX
2009-04-10 18:29 . 2000-11-27 06:30 405,504 --a------ c:\windows\system32\SWFLASH.OCX
2009-04-10 18:29 . 2000-05-17 16:47 225,280 --a------ c:\windows\system32\AS-Exp2.ocx
2009-04-10 18:29 . 1999-05-07 00:00 209,408 --a------ c:\windows\system32\TABCTL32.OCX
2009-04-10 18:29 . 2000-05-22 01:00 203,976 --a------ c:\windows\system32\RICHTX32.OCX
2009-04-10 18:29 . 1999-05-07 00:00 140,288 --a------ c:\windows\system32\comdlg32.ocx
2009-04-10 18:29 . 2002-01-10 12:06 65,536 --a------ c:\windows\system32\prjChameleon.ocx
2009-04-10 18:29 . 1996-02-18 15:41 22,528 --a------ c:\windows\system32\ICONTRAY.OCX
2009-04-09 19:02 . 2009-04-09 19:14 <REP> d-------- c:\program files\Navilog1
2009-04-09 18:46 . 2009-04-09 18:46 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-09 18:46 . 2009-04-09 18:46 <REP> d-------- c:\documents and settings\allo planete\Application Data\Malwarebytes
2009-04-09 18:46 . 2009-04-09 18:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-09 18:46 . 2009-04-06 15:32 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-09 18:46 . 2009-04-06 15:32 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-09 18:24 . 2009-04-09 18:25 <REP> d-------- c:\windows\ERUNT
2009-04-09 18:23 . 2007-12-04 19:53 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-04-09 18:23 . 2007-12-04 19:53 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-04-09 18:23 . 2007-12-04 18:59 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-04-09 18:23 . 2007-12-04 19:53 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-04-09 18:23 . 2007-12-04 19:53 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-04-09 18:23 . 2007-12-04 19:53 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-04-09 18:23 . 2009-04-09 18:25 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-04-09 18:23 . 2009-04-09 18:23 <REP> d-------- c:\documents and settings\Administrateur
2009-04-09 18:18 . 2009-04-09 18:38 <REP> d-------- C:\SDFix
2009-04-09 15:55 . 2009-04-09 15:55 <REP> d-------- c:\program files\AxBx
2009-04-09 15:46 . 2009-04-09 15:46 <REP> d-------- c:\program files\Trend Micro
2009-04-09 15:37 . 2009-04-09 15:39 <REP> d-------- c:\program files\Spyware Doctor
2009-04-09 15:37 . 2009-04-09 15:38 <REP> d-------- c:\program files\Fichiers communs\PC Tools
2009-04-09 15:37 . 2009-04-09 15:37 <REP> d-------- c:\documents and settings\allo planete\Application Data\PC Tools
2009-04-09 15:37 . 2009-04-09 15:47 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-04-09 15:37 . 2009-04-09 15:37 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Tools
2009-04-09 15:37 . 2008-12-11 08:38 159,600 --a------ c:\windows\system32\drivers\pctgntdi.sys
2009-04-09 15:37 . 2009-03-06 16:45 130,424 --a------ c:\windows\system32\drivers\PCTCore.sys
2009-04-09 15:37 . 2008-12-18 12:16 73,840 --a------ c:\windows\system32\drivers\PCTAppEvent.sys
2009-04-09 15:37 . 2008-12-10 12:36 64,392 --a------ c:\windows\system32\drivers\pctplsg.sys
2009-03-22 02:27 . 2009-04-03 16:28 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-22 02:27 . 2009-03-22 02:27 1,409 --a------ c:\windows\QTFont.for
2009-03-15 01:56 . 2009-03-15 02:13 <REP> d-------- c:\windows\system32\CatRoot_bak
2009-03-14 16:43 . 2009-03-14 16:43 <REP> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-03-14 16:40 . 2009-03-14 16:40 <REP> d-------- c:\program files\MSXML 4.0
2009-03-11 12:18 . 2009-04-11 11:23 <REP> d-------- c:\documents and settings\allo planete\Application Data\skypePM
2009-03-11 12:18 . 2009-03-11 12:18 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-03-11 12:16 . 2009-04-11 11:24 <REP> d-------- c:\documents and settings\allo planete\Application Data\Skype
2009-03-11 12:15 . 2009-03-11 12:15 <REP> dr------- c:\program files\Skype
2009-03-11 12:15 . 2009-03-11 12:15 <REP> d-------- c:\program files\Fichiers communs\Skype
2009-03-11 12:15 . 2009-03-11 12:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Skype
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-11 09:22 0 ----a-w c:\windows\system32\drivers\logiflt.iad
2009-04-10 17:07 --------- d-----w c:\program files\Fichiers communs\LogiShrd
2009-04-10 17:04 --------- d-----w c:\program files\Logitech
2009-04-10 17:03 --------- d-----w c:\documents and settings\All Users\Application Data\Logishrd
2009-04-10 13:20 0 ----a-w c:\windows\system32\drivers\lvuvc.hs
2009-03-13 17:18 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-13 17:17 --------- d-----w c:\program files\Fichiers communs\AVSMedia
2009-03-13 17:14 --------- d-----w c:\program files\Nokia
2009-03-13 17:12 --------- d-----w c:\documents and settings\All Users\Application Data\Downloaded Installations
2009-03-13 17:11 --------- d-----w c:\program files\Yahoo!
2009-03-05 13:53 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2009-03-05 13:52 --------- d-----w c:\documents and settings\allo planete\Application Data\Leadertech
2009-03-05 13:48 --------- d-----w c:\documents and settings\All Users\Application Data\Logitech
2009-03-05 11:06 --------- d-----w c:\documents and settings\client\Application Data\msnf3
2009-03-04 14:55 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-02-26 16:04 --------- d-----w c:\program files\Windows Live
2009-02-26 15:59 --------- d-----w c:\program files\Windows Live SkyDrive
2009-02-26 15:59 --------- d-----w c:\program files\Microsoft
2009-02-26 15:51 --------- d-----w c:\program files\Fichiers communs\Windows Live
2009-02-26 10:37 --------- d-----w c:\program files\QuickTime
2009-02-26 10:37 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-02-26 10:36 --------- d-----w c:\program files\Apple Software Update
2009-02-26 10:36 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
2008-12-31 10:14 2,016,584 ----a-w c:\documents and settings\client\Application Data\msnf.exe
2008-12-31 08:47 2,016,568 ----a-w c:\documents and settings\client\Application Data\mssf.exe
2008-12-29 17:43 61,440 ----a-w c:\documents and settings\client\Application Data\sf.exe
2008-12-28 17:52 1,909,451 ----a-w c:\documents and settings\client\Application Data\hdff.exe
2008-11-23 15:24 26,112 ----a-w c:\documents and settings\client\Application Data\dms.exe
2008-11-09 09:01 21,584 ----a-w c:\documents and settings\client\Application Data\k.exe
2008-11-09 09:01 1,909,451 -c--a-w c:\documents and settings\client\Application Data\hdf.exe
2008-11-09 09:00 45,672 -c--a-w c:\documents and settings\client\Application Data\uptime.exe
2008-11-09 09:00 2,827,492 -c--a-w c:\documents and settings\client\Application Data\finalssf.exe
2008-11-09 08:59 2,438,299 ----a-w c:\documents and settings\client\Application Data\tmobd.exe
2009-02-27 17:03 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2009-02-27 17:03 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2009-02-27 17:03 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2009-02-27 17:03 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2009-02-27 17:03 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-02-04 23975720]
"AdobeUpdater"="c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2009-02-27 2356088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-02-23 278528]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-10-19 286720]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"VTTimer"="VTTimer.exe" [2006-09-21 c:\windows\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2007-06-11 c:\windows\system32\S3Trayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 c:\windows\soundman.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 c:\windows\system32\bthprops.cpl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-03-05 66864]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 04:06 40048 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 c:\program files\Messenger\msmsgs.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-04-09 130424]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-24 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-24 20560]
R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [2007-12-04 714240]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-04-09 348752]
.
Contenu du dossier 'Tâches planifiées'
2009-04-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{C50DEF11-4CF8-4631-887C-5BB348F17839} - c:\windows\system32\jkhfc.dll
MSConfigStartUp-NSLauncher - c:\program files\Nokia\Nokia Software Launcher\NSLauncher.exe
MSConfigStartUp-PcSync - c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe
MSConfigStartUp-Yahoo! Pager - c:\progra~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\documents and settings\allo planete\Application Data\Mozilla\Firefox\Profiles\i7d9pgxi.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
.
**************************************************************************
catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-11 11:24:29
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Heure de fin: 2009-04-11 11:27:20 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-11 09:27:16
Avant-CF: 29 924 577 280 octets libres
Après-CF: 30,378,381,312 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
211 --- E O F --- 2009-03-14 14:45:58
Salut !
Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Double-clique sur RSIT.exe.
Clique sur Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
A noter: Les rapports se trouvent également ici: C:\rsit.
Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Double-clique sur RSIT.exe.
Clique sur Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
A noter: Les rapports se trouvent également ici: C:\rsit.
