Virus qui me rend folle ;-) deuxième round! Résolu/Fermé

Question

Bonjour,

Voilà je reviens demander votre aide.... car ce matin, j'ai encore reçu un mail d'une amie qui me disait qu'elle recevait des mails bizarres de moi. Ce genre de mail : 

Dear,
I found a nice site recently.I am sure you will like it,it is really wonderful.It sells electronic products.
I have bought some products from this company.The price was very cheap,and the products have very good quality.
Please do have a look at this web page :  www.djqoop.com 
I am sure you will save lots of money.
Best regards, 

J'ai déjà essayé pleins de trucs et suivi les conseils de quelques un de ce forum mais je viens de me rendre compte que ça n'avait pas fonctionnait.. Je met le lien avec toutes les étapes que j'ai réalisée précédemment. 

http://www.commentcamarche.net/forum/affich 12668361 virus qui me rend folle

Si quelqu'un avait une autre idée...ça serait super sympa de la dire :-)

Une bonne journée!

plopus · Answer

salut

telecharge hijackthis ur ton BUREAU  https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

lance le choisit do a scan and save the log et poste le rapport

plopus · Answer

relance hijackthis choisit do a scan only et coche les cases a gauche des lignes :

 R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 
 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC     
 O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName     
 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"     
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime     
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     
 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background     
 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE LOCAL')     
 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE RÉSEAU')     
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     
 O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? 
 O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab 


puis clic sur fix checked

ensuite je ne vois rien de mechant dans ce rapport MAIS TU n'as pas telechargé hijackthis au bon endroit, il faut le mettre sur LE BUREAU

fait ceci pour aller + profond :

• Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton BUREAU.
http://images.malwareremoval.com/random/RSIT.exe

• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

plopus · Answer

je vois aussi que tu as 2 antivirus NORTON et AVIRA


si tu ne paye pas NORTON je te propose de le desinstallé car il est nul

va dans demarrer/panneau de configuration et desinstalle NORTON


puis après utilise cette outils pour supprimer les traces de NORTON

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

rosa · Answer

Bonsoir! 

Alors je pense avoir tout fait! 

Je ne comprends pas .. pourtant j'avais Hijackthis sur mon bureau ...

Pour Norton, j'ai fait ce que vous m'aviez dit!

Pour le rapport qui devait être en deux fois... . je n'aie qu'un seul document qui s'ouvre après lancé le programme :-( 

Le voici : 

Logfile of random's system information tool 1.06 (written by random/random)
Run by Franchin Rosanna at 2009-06-02 19:26:31
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 13 GB (44%) free of 31 GB
Total RAM: 1023 MB (38% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:26:46, on 2/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\APPS\SMP\SmpSys.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Documents and Settings\Franchin Rosanna\Bureau\RSIT.exe
D:\Documents and Settings\Franchin Rosanna\Bureau\Franchin Rosanna.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=BEFR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9 -reboot 1
O4 - HKCU\..\Run: [Camfrog] "C:\Program Files\Camfrog\Camfrog Video Chat\CamfrogNet.exe" 0 C:\Program Files\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SERVICE RÉSEAU')
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\befr.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.be/net/Import/ImageUploader3.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

plopus · Answer

alors tu as de grosse infection USB :

adober.exe est un virus qui ce propage par USB est qui ouvre un port sur le PC infecté, donc toutes tec clefs USB appareil photo, DD externe etc... sont infecté si tu les connecte et si tu as un autre PC auquel tu connecte tes clefs il est lui aussi infecté fait ceci :

    *  Telecharge et installe UsbFix de C_XX & Chiquitine29

    * http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    * Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "Exécuter en tant qu'administrateur" .

    * Choisi l'option 1 ( Recherche )

    * Laisse travailler l'outil.

    * Ensuite post le rapport UsbFix.txt qui apparaîtra.

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )


( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

plopus · Answer

donc si tu as d'autre PC, tu feras pareil que sa et branche bien TOUTEs tes sources de données externe

    *  Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    * Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "Exécuter en tant qu'administrateur" .

    * choisi l'option 2 ( Suppression )

    * Ton bureau disparaîtra et le pc redémarrera .

    * Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    * Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )


( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


puis

tu as des traces de Boonty game c'est un spyware ne retourne + telecharger chez eux fait ceci pour eliminer les restes :

    *  Télécharge et enregistre le fichier d installation sur ton bureau :

      http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

    * tutoriel installation

    * Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

    * Ouvre le dossier Ad-remover présent sur ton bureau, et double clique sur Ad-remover.bat.

      * Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

    * Au menu principal choisi l'option "L" et tape sur [entrée] .

    * Laisse travailler l'outil et ne touche à rien ...

    * Poste le rapport qui apparait à la fin.



( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis
entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels
de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces
antivirus.

rosa · Answer

Et voilà le nouveau rapport avec UsbFix en faisant l'option 2

Je fais tout de suite celui avec AD-Remover et je le poste! 


############################## [ UsbFix V3.027 | Cleaning ]

# Update on 30/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 21:49:21 | 2/06/2009

# AMD Sempron(tm) Processor 3400+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 29,99 Go (13 Go free) [HDD] # NTFS
# D:\ # Disque fixe local # 111,24 Go (82,07 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 465,64 Go (214,6 Go free) [Elements] # FAT32
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible
# L:\ # Disque amovible # 3,73 Go (3,73 Go free) [UDISK] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\...\Explorer\MountPoints2\{015d57c9-7754-11dc-a002-0014856cc4f2}\Shell\Auto\Command  
Deleted ! HKCU\...\Explorer\MountPoints2\{015d57cf-7754-11dc-a002-0014856cc4f2}\Shell\Auto\Command  
Deleted ! HKCU\...\Explorer\MountPoints2\{a4c1c700-7822-11dc-a003-0014856cc4f2}\Shell\Auto\Command  
Deleted ! HKCU\...\Explorer\MountPoints2\{b41c5dbb-9860-11dc-a019-0014856cc4f2}\Shell\AutoRun\Command  
Deleted ! HKCU\...\Explorer\MountPoints2\{c0acd61f-e8c7-11db-9f56-0014856cc4f2}\Shell\AutoRun\Command  

################## [ Listing des fichiers présent ]

[02/06/2009 21:39|--a------|1189] - C:\Ad-Report-CLEAN.log
[19/08/2006 14:03|--a------|40] - C:\Auth.prof
[06/03/2006 14:33|-rahs----|215] - C:\BOOT.BAK
[31/05/2009 10:13|-rahs----|296] - C:\BOOT.INI
[05/08/2004 15:00|-rahs----|4952] - C:\Bootfont.bin
[05/08/2004 15:00|-rahs----|263488] - C:\cmldr
[27/10/2007 13:29|--a------|74] - C:\CMLoader.log
[06/03/2006 16:11|--a------|5980] - C:\DWNLOG.TXT
[?|?|?] - C:\hiberfil.sys
[06/03/2006 14:34|-rahs----|0] - C:\IO.SYS
[06/03/2006 14:34|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 15:00|--a------|47564] - C:\NTDETECT.COM
[04/10/2008 23:39|--a------|252240] - C:\NTLDR
[29/02/2004 17:44|--a------|52576] - C:\orange.bmp
[?|?|?] - C:\pagefile.sys
[03/12/2008 20:02|--a------|173] - C:\pdisdk.log
[08/04/2007 19:52|--a------|13030] - C:\PDOXUSRS.NET
[06/03/2006 14:59|--a------|1022] - C:\SAUDIT.TXT
[18/11/2006 19:39|--a------|5279] - C:	emp.log
[28/07/2006 08:19|--a------|323] - C:\windo
[19/08/2006 13:08|--a------|262144] - D:
tuser.dat
[24/04/2008 20:19|--ah-----|1024] - D:
tuser.dat.LOG
[31/10/2005 17:56|--a------|700416] - D:\StubInstaller.exe
[02/06/2009 21:50|--a------|4189] - D:\UsbFix.txt

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ Informations # Fichier Suspect ]


################## [ Cracks # Keygens # Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.027 ! ]

rosa · Answer

Le rapport avec AD-Remover

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_C | UNIQUEMENT XP/VISTA =======
.
Mit à jour part C_XX le 02/06/2009 à 8:00 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:59:34, mar. 02/06/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600

.
Administrateur: Administrateur 
N'est pas administrateur: ASPNET 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité *Desactive* 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
.
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\cache 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\ConfMedia.cyp 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto.cfg 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\host.cyp 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\user.cyp 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\1.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\10.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\11.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\12.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\13.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\14.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\15.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\2.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\3.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\4.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\5.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\6.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\7.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\8.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\9.txt 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\cat.cyp 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\db\cat.nfo 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\eophoto_default.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\eophoto_loading.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\aide.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\aidePressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\back.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\background3_2.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\backPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\cadre_int.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\ecran.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\ecranpressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\eophoto_fond_default.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\fermer.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\fermerPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\minimise.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\minimisepressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu
ext.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu
extPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\pause.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\pausepressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\play.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\playPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_big_bleu\Thumbs.db 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic\back.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic\backPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic\fermerPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic
ext.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic
extPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic\pause.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic\pausepressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic\play.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic\playPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic\Thumbs.db 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\aide.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\aidePressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\back.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\backPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\cadre_int.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\ecran.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\ecranpressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\eophoto_fond_default.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\fermer.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\fermerPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\minimise.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\minimisepressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu
ext.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu
extPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\pause.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\pausepressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\play.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\playPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_bleu\Thumbs.db 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\aide.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\aidePressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\back.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\background3.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\backPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\ecran.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\ecranPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\eophoto_fond_default.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\fermer.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\fermerPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\minimise.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\minimisepressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris
ext.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris
extPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\pause.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\pausepressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\play.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\playPressed.png 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo\EoPhoto\images_classic_gris\Thumbs.db 
D:\DOCUME~1\FRANCH~1\APPLIC~1\EoRezo 

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 3.0.10 *

 Nom du profil: 73jyqncw.default (Franchin Rosanna)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Google"); 
(Prefs.js) user_pref("browser.search.selectedEngine", "Google"); 
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.10"); 
.
. 

* Internet Explorer Version 7.0.5730.11 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

   Tabs: res://ieframe.dll/tabswelcome.htm

============== Suspect (Cracks, Serials ... ) ==============

.

+---------------------------------------------------------------------------+

9470 Octet(s) - C:\Ad-Report-CLEAN.log

17 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
24 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE

Fin à: 22:09:08 | mar. 02/06/2009
.
============== E.O.F ==============
.

plopus · Answer

salut

donc Eorezo c'est pareil que boonty game c'est un spyware ne retourne + sur leur site.

fait ceci :

fait un scan avec GMER via l'onglet Rootkit/malware en cochant TOUTES les cases a droite comme expliquer sur le tuto ici   https://www.malekal.com/tutorial-gmer/
ensuite tu clic SCAN, tu patiente et si il trouve des elements en rouge tu me les copie colle ici puis tu clic droit dessus et chosit  "kill process" dans onglet process pour tuer le processus actif puis dans onglet rootkit/mawlare tu clic droit sur l'element en rouge et chosiit "deleteé.

puis fait un scan en ligne ici avec internet explorer et poste le rapport en entier
http://www.bitdefender.fr/scan_fr/scan8/ie.html

puis

    *  Télécharge Malwarebytes
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

V-X · Answer

Lut ' ,

donc Eorezo c'est pareil que boonty game c'est un spyware ne retourne + sur leur site.


Euhh !!!

Nop , BOUNTY , ont changer leur politique , et n'est put considérer comme un Adware , contrairement à EOREZO.

++

plopus · Answer

lut V-X

ok merci de l'info  ;)

rosa · Answer

A vrai dire je ne sais même pas sur quel site j'ai été pour avoir un truc "boonty games" et "Eorozo"... donc je ne sais pas quels sont les sites où je ne dois pas aller ou ce que je ne dois pas télécharger :-(

Alors j'ai fais le scan avec GMER et il n'a rien aucun lien en rouge... 

Je fais tout de suite l'analyse avec BitDefender!

rosa · Answer

Alors j'ai analysé mon pc avec Bit Defender et il n'a absolument pas trouvé de virus.... je ne sais pas si c'est bon signe (?)

Je fais tout de suite la dernière étape suggérée (http://www.bitdefender.fr/scan_fr/scan8/ie.html)

plopus · Answer

ok fait l'analyse avec malwarebyte si les autres n'ont rien trouvés et POSTE les rapports meme si ils sont vierge

rosa · Answer

Voici le rapport de la dernière étape. 

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2221
Windows 5.1.2600 Service Pack 3

3/06/2009 16:57:53
mbam-log-2009-06-03 (16-57-53).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Eléments examinés: 275828
Temps écoulé: 1 hour(s), 48 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2d2bee6e-3c9a-4d58-b9ec-458edb28d0f6} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\IGB (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
d:\documents and settings\franchin rosanna\local settings\application data\swmowmy_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
d:\documents and settings\franchin rosanna\local settings\application data\swmowmy_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
d:\documents and settings\franchin rosanna\local settings\application data\swmowmy.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\WINDOWS	mlpcert2007 (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\ktzpxdgyfa_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32xgvwt_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\ktzpxdgyfa_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32xgvwt_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

rosa · Answer

Les deux premiers rapports ne disaient rien d'autres à part le temps que ça a prit pour faire l'analyse et qu'ils n'avaient rien trouvé comme résultats...

plopus · Answer

ok

fait ceci en controle car tu etait infecté par navipromo (d'ailleurs en ce moment je trouve qu'il arrive bien a ce caché des rapport)

Navipromo est une infection qui affiche des fenêtres publicitaires intempestives.

Les programmes suivants installent cette infection :

    * Funky Emoticons
    * Games Attack
    * Go-astro
    * GoRecord
    * HotTVPlayer
    * Live Player
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * Sudoplanet
    * WebMediaPlayer

pour supprimer les restes :


    *  Télécharge sur le bureau Navilog1
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    * Si ton antivirus s'affole , le désactiver
    * sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur
    * sous XP : double-clic dessus pour l'installer et le lancer
    * taper F
    * Appuyer sur une touche jusqu' arriver aux options
    * Choisir Recherche ( = taper 1 )

      ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes
    * un rapport : fixnavi.txt dans ==> C :
    * le copier et le coller dans la réponse



et au fait pour en revenir avec tes problemes de mails, tu peux maintenant changer ton mot de passe et la reponse a ta question secrete pour eviter de renvoyer des mails a tes contacts

rosa · Answer

Et encore un petit rapport :-) 


Search Navipromo version 3.7.7 commencé le mer. 03/06/2009 à 17:37:10,57

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3400+ )
BIOS : Award Medallion BIOS v6.00PG
USER : Franchin Rosanna ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)


C:\ (Local Disk) - NTFS - Total:29 Go (Free:12 Go)
D:\ (Local Disk) - NTFS - Total:111 Go (Free:86 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (Local Disk) - FAT32 - Total:465 Go (Free:214 Go)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB) - FAT32 - Total:3816 Mo (Free:3 Go)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "D:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "D:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "d:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "D:\Documents and Settings\Franchin Rosanna\applic~1" *** 


*** Recherche dossiers dans "D:\Documents and Settings\Franchin Rosanna\locals~1\applic~1" *** 


*** Recherche dossiers dans "D:\Documents and Settings\Franchin Rosanna\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "D:\Documents and Settings\Franchin Rosanna\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

ktzpxdgyfa.dat trouvé !
rxgvwt.dat trouvé !

* Dans "D:\Documents and Settings\Franchin Rosanna\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le mer. 03/06/2009 à 17:42:04,65 ***

plopus · Answer

relance navilog en option 2 et poste le rapport

ensuite peut tu me reposter un nouveau log.txt de RSIT qui doit etre sur ton bureau

plopus · Answer

tu as vu sa il faudra le faire assez rapidement

et au fait pour en revenir avec tes problemes de mails, tu peux maintenant changer ton mot de passe et la reponse a ta question secrete pour eviter de renvoyer des mails a tes contacts

rosa · Answer

Ok alors je viens de changer mon mot de passe et ma question secrète.. est ce qu'il est important de préciser que j'ai en fait  la boîte de réception windows live mail... qui reprend toutes mes adresses de messagerie? 

Je viens de faire le rapport avec l'option 2 pour navilog.. le pc doit redémarrer, il ne m'a encore rien posté comme rapport... je me reconnecte dès que mon pc a redémarré.

rosa · Answer

Avec RSIT.exe


Logfile of random's system information tool 1.06 (written by random/random)
Run by Franchin Rosanna at 2009-06-03 19:11:29
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 13 GB (42%) free of 31 GB
Total RAM: 1023 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:49, on 3/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Franchin Rosanna\Bureau\RSIT.exe
D:\Documents and Settings\Franchin Rosanna\Bureau\Franchin Rosanna.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\RunOnce: [navilog1] C:\Program Files\Navilog1\Navreb.bat
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9 -reboot 1
O4 - HKCU\..\Run: [Camfrog] "C:\Program Files\Camfrog\Camfrog Video Chat\CamfrogNet.exe" 0 C:\Program Files\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SERVICE RÉSEAU')
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\befr.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.be/net/Import/ImageUploader3.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

plopus · Answer

REDEMARRE TON PC et poste le rapport de navilog

puis clic ici  http://www.cijoint.fr/cjlink.php?file=cj200906/cijzjKEwOB.txt  et recupere le fichier otomoveit .txt et suit les indications puis poste le rapport

puis  on peut aussi verfier la vulnerabilité de windows et aussi d'autre produits

-
Soit par le biais de ce site internet il faut installer l'active X puis
clic start scan et le site montre d'une croix rouge les faille de
sécurité pour quelques produits important installé sur le PC comme
java, IE, windows, flashplayer, adobe...les + importantes
https://www.flexera.com/products/operations/software-vulnerability-management.html

-
Soit on peut aussi passer par un logiciel a installer qui scan le PC et
affiche TOUTES les mises a jour des logiciels et produits installé sur
le PC
https://filehippo.com/windows/tuning-utilities/

utilise les 2 outils et desinstalle les ancienne versions des produits que tu met a jour


as tu encore des problemes ?

rosa · Answer

Est ce que je devais refaire Navilog avec l'option 1 ou l'option 2??? 

Pour l'instant il est en train de le faire avec l'option 1. 

Je ne sais pas si j'ai encore des problèmes... car pour l'instant plus personne ne me dit qu'il reçoit des mails de moi ou des messages sur msn ... mais bon peut être que les gens se sont habitués lol!

rosa · Answer

Voici le rapport navilog avec l'option 1


Search Navipromo version 3.7.7 commencé le mer. 03/06/2009 à 19:49:29,42

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3400+ )
BIOS : Award Medallion BIOS v6.00PG
USER : Franchin Rosanna ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)


C:\ (Local Disk) - NTFS - Total:29 Go (Free:12 Go)
D:\ (Local Disk) - NTFS - Total:111 Go (Free:86 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (Local Disk) - FAT32 - Total:465 Go (Free:214 Go)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB) - FAT32 - Total:3816 Mo (Free:3 Go)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "D:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "D:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "d:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "D:\Documents and Settings\Franchin Rosanna\applic~1" *** 


*** Recherche dossiers dans "D:\Documents and Settings\Franchin Rosanna\locals~1\applic~1" *** 


*** Recherche dossiers dans "D:\Documents and Settings\Franchin Rosanna\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "D:\Documents and Settings\Franchin Rosanna\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "D:\Documents and Settings\Franchin Rosanna\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le mer. 03/06/2009 à 19:57:59,93 ***

plopus · Answer

ok c'est bon pour navilog il est vierge, les elements ont ete supprimés

fait le reste maintenant

rosa · Answer

Rapport de otomoveit

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
D:\Documents and Settings\Franchin Rosanna\Application Data\inst.exe moved successfully.
========== COMMANDS ==========
File delete failed. D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\etilqs_O4SrUpvT9XumSAW5ks15 scheduled to be deleted on reboot.
File delete failed. D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\~DF5A1E.tmp scheduled to be deleted on reboot.
File delete failed. D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\~DF5A38.tmp scheduled to be deleted on reboot.
File delete failed. D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\~DF9657.tmp scheduled to be deleted on reboot.
File delete failed. D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\~DF9AAD.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. D:\Documents and Settings\Franchin Rosanna\Local Settings\Temporary Internet Files\Content.IE5\E7J208Y0\msgrconfig[1].xml scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\Franchin Rosanna\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\hsperfdata_SYSTEM\1672 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ib2 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ib3 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ib4 scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 06032009_200145

Files moved on Reboot...
File D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\etilqs_O4SrUpvT9XumSAW5ks15 not found!
File D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\~DF5A1E.tmp not found!
File D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\~DF5A38.tmp not found!
File D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\~DF9657.tmp not found!
File D:\DOCUME~1\FRANCH~1\LOCALS~1\Temp\~DF9AAD.tmp not found!
D:\Documents and Settings\Franchin Rosanna\Local Settings\Temporary Internet Files\Content.IE5\E7J208Y0\msgrconfig[1].xml moved successfully.
File C:\WINDOWS	emp\hsperfdata_SYSTEM\1672 not found!
File move failed. C:\WINDOWS	emp\ib2 scheduled to be moved on reboot.
File move failed. C:\WINDOWS	emp\ib3 scheduled to be moved on reboot.
File move failed. C:\WINDOWS	emp\ib4 scheduled to be moved on reboot.
D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\Cache\_CACHE_001_ moved successfully.
D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\Cache\_CACHE_002_ moved successfully.
D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\Cache\_CACHE_003_ moved successfully.
D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\Cache\_CACHE_MAP_ moved successfully.
D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\urlclassifier3.sqlite moved successfully.
D:\Documents and Settings\Franchin Rosanna\Local Settings\Application Data\Mozilla\Firefox\Profiles\73jyqncw.default\XUL.mfl moved successfully.

plopus · Answer

ok bien, dit je viens de lire que tu envoie aussi des lien a tes contact MSN dans ce cas on va passer un dernier outil 

clic ici  https://www.malekal.com/supprimer-virus-desinfecter-pc/  et suit le tuto de MSNfix et poste moi le rapport

puis après

#  Télécharge Toolscleaner sur ton Bureau

http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

# Double-clique sur ToolsCleaner2.exe et laisse le travailler
# Clique sur Recherche et laisse le scan se terminer.
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter, pour que le rapport puisse se créer.
# Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse


et occupe toi bien de tes mises ajour de PC avec ces liens c'est important pour eviter les infections

Soit par le biais de ce site internet il faut installer l'active X puis
clic start scan et le site montre d'une croix rouge les faille de
sécurité pour quelques produits important installé sur le PC comme
java, IE, windows, flashplayer, adobe...les + importantes
https://www.flexera.com/products/operations/software-vulnerability-management.html

-
Soit on peut aussi passer par un logiciel a installer qui scan le PC et
affiche TOUTES les mises a jour des logiciels et produits installé sur
le PC
https://filehippo.com/windows/tuning-utilities/

utilise les 2 outils et desinstalle les ancienne versions des produits que tu met a jour

rosa · Answer

Alors pour MSN FIX j'ai vraiment un problème! 

L'analyse se fait.... puis il dit qu'il a detecté un truc et qu'il doit redémarrer et normalement au redémarrage, il doit afficher un bloc note mais il n'y a rien qui se passe... :)

Oui oui je vais faire les trucs pour les mises à jour aussi dès que j'aurais fais les autres étapes proposées. 

Merci en tout cas pour ton aide!

rosa · Answer

Bon bé maintenant MSN FIX me met 'infection absente'... 

Je vais faire la deuxième étape.

rosa · Answer

Voici le dernier rapport! 

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

D:\UsbFix.txt: trouvé !
D:\_OtMoveIt: trouvé !
D:\UsbFix: trouvé !
D:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\Navilog1.exe: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\HijackThis.exe: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\Ad-remover.lnk: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\UsbFix.exe: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\OTMoveIt3.exe: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\Rsit.exe: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\MsnFix: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\MSNFix\MsnFix: trouvé !
D:\Documents and Settings\Franchin Rosanna\Bureau\Utilisé rarement\HijackThis.exe: trouvé !
D:\Documents and Settings\Franchin Rosanna\Menu Démarrer\Programmes\UsbFix: trouvé !
D:\Documents and Settings\Franchin Rosanna\Menu Démarrer\Programmes\Ad-remover: trouvé !
D:\Documents and Settings\Franchin Rosanna\Recent\MSNFix.lnk: trouvé !

---------------------------------
--> Suppression: 

D:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
D:\Documents and Settings\Franchin Rosanna\Bureau\Navilog1.exe: supprimé !
D:\Documents and Settings\Franchin Rosanna\Bureau\HijackThis.exe: supprimé !
D:\Documents and Settings\Franchin Rosanna\Bureau\Ad-remover.lnk: supprimé !
D:\Documents and Settings\Franchin Rosanna\Bureau\Utilisé rarement\HijackThis.exe: supprimé !
D:\Documents and Settings\Franchin Rosanna\Recent\MSNFix.lnk: supprimé !
D:\UsbFix.txt: supprimé !
D:\Documents and Settings\Franchin Rosanna\Bureau\UsbFix.exe: supprimé !
D:\Documents and Settings\Franchin Rosanna\Bureau\OTMoveIt3.exe: supprimé !
D:\Documents and Settings\Franchin Rosanna\Bureau\Rsit.exe: supprimé !
D:\_OtMoveIt: supprimé !
D:\UsbFix: supprimé !
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
D:\Documents and Settings\Franchin Rosanna\Bureau\MsnFix: supprimé !
D:\Documents and Settings\Franchin Rosanna\Menu Démarrer\Programmes\UsbFix: supprimé !
D:\Documents and Settings\Franchin Rosanna\Menu Démarrer\Programmes\Ad-remover: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!

rosa · Answer

Dois je encore faire quelque chose à part les mises à jour?? 

Est ce que je peux désinstaller tous les programmes que j'ai installé depuis le début??

plopus · Answer

ok pour MSNfix

maintenant fait ceci pour alleger ton PC et garde ce logiciel trés bien

telecharge CCleaner ici https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
 N'INSTALLE PAS LA YAHHO TOOLBAR decoche la a l'installation puis une fois installé lance le va dans option/avancé et decoche la premiere case puis va dans onglet registre et nettoyeur et nettoie plusieurs fois jusqu'a trouver 0n erreur et ne sauvegarde pas les elements du registre.

si tu n'as + de probleme mets ton sujet en résolu  ;)

plopus · Answer

jepsere aussi que tu n'as pas le meme passe pour toutes tes autres messagerie ? si c'est le cas change le tout  PASSE + QUESTION SECRETE

@+

rosa · Answer

Par contre je n'arrive pas à mettre la discussion en "résolu"

plopus · Answer

pas grave tu es pas inscrit c'est pour sa quelqu'un le fera pour toi  ;)

Virus qui me rend folle ;-) deuxième round!

36 réponses

Discussions similaires