Problemes multiples

Résolu
yannnn23 Messages postés 24 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
bonjour je suis mon ordi portable et j ai different problemes.
ayant ds mon ordi 2disques durs un contient XP pro et lautre XP familliale.
sur le XP pro je ne peut plus me connecter sur internet, l'adresse IP ne s affiche pas.
sur XP famillial je ne peut plus ouvrir window media player et d autres applications.par contre je peut me connecter sur internet.
ensuite mon antivirus avast me dit que kaspersky est installe alors qu'il n'y ait plus depuis longtemps.
de plus en faisant navipromo on me dit k j ai deux trojans:

Rapport Navipromo.bat 0.72 effectué depuis D:\ le 16/04/2007 à 10:35:22,81
L'opération se déroule en mode sans échec sous le compte ## Vérifications supplémentaires

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.

* Navipromo

D:\WINDOWS\System32

* Trojan Nebula

* Trojan Vundo

merci de m'aider merci
Configuration: Windows XP
Internet Explorer 6.0

7 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Pour le moment, on reste sur le Xp familial.

    Télécharge HijackThis ici:
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : ! (ou d, ou e)Démo : (Merci a Balltrap34 pour cette réalisation)
    http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)

    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    @+
    0
    1. yannnn23 Messages postés 24 Statut Membre
       
      voila le log:

      Logfile of Trend Micro HijackThis v2.0.0 (BETA)
      Scan saved at 11:27:07, on 16/04/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\S24EvMon.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\WINDOWS\ATKKBService.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\RegSrvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\ZCfgSvc.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\1XConfig.exe
      C:\WINDOWS\ATK0100\HControl.exe
      C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      D:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\ATK0100\ATKOSD.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Ripert\Bureau\HiJackThis_v2.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
      O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
      O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
      O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
      O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
      O23 - Service: kavsvc - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
      O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
      O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
      O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
      O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
      O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
      O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
      O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pas grand chose sur c:. On verra plus tard.

    Tu bootes sur D: (Xp pro ?)

    Tu recopies C:\Documents and Settings\Ripert\Bureau\HiJackThis_v2.exe dans D:\Hijackthis\HiJackThis_v2.exe

    Tu l'exécutes (sous D:).

    Tu rebootes sur C:

    Tu postes le log (D:\Hijackthis\HiJackThis.txt ou qq chose de semblable) dans ta réponse.

    @+
    0
    1. yannnn23 Messages postés 24 Statut Membre
       
      le log du disk D:

      Logfile of Trend Micro HijackThis v2.0.0 (BETA)
      Scan saved at 12:00:15, on 16/04/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      Boot mode: Normal

      Running processes:
      D:\WINDOWS\System32\smss.exe
      D:\WINDOWS\system32\winlogon.exe
      D:\WINDOWS\system32\services.exe
      D:\WINDOWS\system32\lsass.exe
      D:\WINDOWS\system32\Ati2evxx.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\System32\svchost.exe
      D:\WINDOWS\system32\S24EvMon.exe
      D:\WINDOWS\system32\spoolsv.exe
      D:\WINDOWS\system32\ZCfgSvc.exe
      D:\WINDOWS\Explorer.EXE
      D:\WINDOWS\ATK0100\HControl.exe
      D:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
      D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      D:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
      D:\Program Files\RamBoost XP\rambxpfr.exe
      D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      D:\WINDOWS\ATKKBService.exe
      D:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\WINDOWS\system32\RegSrvc.exe
      D:\WINDOWS\System32\svchost.exe
      C:\Program Files\WinPoET\WrOS.EXE
      D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      D:\WINDOWS\system32\wscntfy.exe
      D:\WINDOWS\system32\1XConfig.exe
      D:\WINDOWS\ATK0100\ATKOSD.exe
      D:\HiJackThis_v2.exe
      D:\WINDOWS\system32\wuauclt.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.modulonet.fr
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O4 - HKLM\..\Run: [HControl] D:\WINDOWS\ATK0100\HControl.exe
      O4 - HKLM\..\Run: [Power_Gear] D:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
      O4 - HKLM\..\Run: [LXCGCATS] rundll32 D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
      O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ZCfgSvc.exe] D:\WINDOWS\system32\ZCfgSvc.exe
      O4 - HKLM\..\Run: [PRONoMgr.exe] D:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
      O4 - HKCU\..\Run: [RamBoostXp] D:\Program Files\RamBoost XP\rambxpfr.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
      O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
      O16 - DPF: {082D9DCB-8E89-4586-8BB9-97EC244920CB} (D11014.Module) - http://mediaplus.grenoble-em.com/Download/110F/d11014.CAB
      O16 - DPF: {333DB5BC-21DC-4C64-AA72-5F8BCF5DBB1F} (D11012.Module) - http://mediaplus.grenoble-em.com/Download/110F/d11012.CAB
      O16 - DPF: {444EB378-D5D5-4C3F-912C-7D41D9DF497C} (D11015.Module) - http://mediaplus.grenoble-em.com/Download/110F/d11015.CAB
      O16 - DPF: {46C3202D-BB41-4583-999A-60778A16B251} (D11013.Module) - http://mediaplus.grenoble-em.com/Download/110F/d11013.CAB
      O16 - DPF: {56703AD6-E4E0-11D5-8A02-004033D24DB9} (D410.Module) - http://mediaplus.grenoble-em.com/Download/410F/D410.CAB
      O16 - DPF: {7B37B72E-4562-408F-B937-49AABACCEF5B} (D110.Module) - http://mediaplus.grenoble-em.com/Download/110F/d110.CAB
      O16 - DPF: {7B7CCAA1-1183-4A5C-82C5-F19DA96AB775} (D11016.Module) - http://mediaplus.grenoble-em.com/Download/110F/d11016.CAB
      O16 - DPF: {E4F51484-E4D9-11D5-8A02-004033D24DB9} (D41018.Module) - http://mediaplus.grenoble-em.com/Download/410F/D41018.CAB
      O16 - DPF: {ED34B65B-2A98-4125-88E7-F142692E60E4} (D11011.Module) - http://mediaplus.grenoble-em.com/Download/110F/d11011.CAB
      O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\System32\browseui.dll
      O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\System32\browseui.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
      O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - D:\WINDOWS\System32\dmadmin.exe
      O23 - Service: Journal des événements (Eventlog) - Unknown owner - D:\WINDOWS\system32\services.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - D:\WINDOWS\System32\imapi.exe
      O23 - Service: lxcg_device - Unknown owner - D:\WINDOWS\system32\lxcgcoms.exe
      O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - D:\WINDOWS\System32\mnmsrvc.exe
      O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - D:\WINDOWS\system32\services.exe
      O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - D:\WINDOWS\system32\sessmgr.exe
      O23 - Service: RegSrvc - Intel Corporation - D:\WINDOWS\system32\RegSrvc.exe
      O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - D:\WINDOWS\system32\S24EvMon.exe
      O23 - Service: Carte à puce (SCardSvr) - Unknown owner - D:\WINDOWS\System32\SCardSvr.exe
      O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - D:\WINDOWS\system32\smlogsvc.exe
      O23 - Service: Telnet (TlntSvr) - Unknown owner - D:\WINDOWS\System32\tlntsvr.exe
      O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - D:\WINDOWS\System32\vssvc.exe
      O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET\WrOS.EXE
      O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - D:\WINDOWS\System32\wbem\wmiapsrv.exe
      0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    redémarres sur C:

    Fais les points 1 à 3 de ce lien :
    virus methode preliminaire de desinfection version fr

    @+
    0
    1. yannnn23 Messages postés 24 Statut Membre
       
      merci je mis met mais je pense pas finir aujourdui trucs a fairedonc demain pour les post a+
      0
  4. yannnn23 Messages postés 24 Statut Membre
     
    rapport avg:

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 13:24:59 16/04/2007

    + Résultat de l'analyse:

    C:\Documents and Settings\Ripert\Cookies\ripert@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.

    Fin du rapport
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    dans cette phase, tu scannes la totalité des disques durs.
    @+
    0
  7. yannnn23 Messages postés 24 Statut Membre
     
    ouai j ai fait mais aucun virus specifier c pas grave merci
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    boote sur D:

    Prends connaissance du contenu le lien suivant:
    http://www.f-secure.com/products/license-terms/eult_fra.pdf
    Tu as donc pris connaissance et accepté les conditions d'utilisation du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
    Maintenant fais un clic droit sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Fais l'extraction dans un dossier propre à lui
    Ensuite double clique sur navilog1.bat
    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    ne fais pas le choix 2,3 ou 4 sans notre avis/accord
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    @+
    0