Sujet Précédent Sujet Suivant

[Trojan] Recherche médecin pour Hijackthis !

Fermé
Jujumoumoune - 19 juin 2007 à 21:18
 Jujumoumoune - 20 juin 2007 à 15:09
Bonjour

Y a t'il un médecin dans le forum ???

Voici mon hijackthis !! Quelqu un voit il un problème ? Quelque chose a enlever ??

Merci

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:12:17, on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\navilog1\fsblc.exe
C:\Documents and Settings\Utilisateur\Mes documents\Divers\APPS\HiJackThis_v2.exe

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - Startup: Raccourci vers Démarrage.lnk = ?
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
A voir également:

6 réponses

Réponse 1 / 6
Jujumoumoune
19 juin 2007 à 21:26
Et puis mon raport de navilog si ca peut vous aider aussi !!!


Search Navipromo version 2.0.3 commencé le 19/06/2007 à 20:52:00,93

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Utilisateur\Application Data ***


...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\xaolfwmr.dat
c:\WINDOWS\system32\xaolfwmr.dat.ren
C:\windows\system32\xaolfwmr.exe
c:\WINDOWS\system32\xaolfwmr_nav.dat
c:\WINDOWS\system32\xaolfwmr_nav.dat.ren
c:\WINDOWS\system32\xaolfwmr_navps.dat
c:\WINDOWS\system32\xaolfwmr_navps.dat.ren

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\xaolfwmr.exe


*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\xaolfwmr.dat trouvé !
**
C:\WINDOWS\system32\xaolfwmr.dat trouvé !
***
****
C:\WINDOWS\system32\xaolfwmr_navps.dat trouvé !
*****
******
*******
********
C:\WINDOWS\system32\xaolfwmr.exe trouvé !


*** Analyse Terminé le 19/06/2007 à 21:20:54,71 ***
0
Réponse 2 / 6
Jujumoumoune
19 juin 2007 à 22:31
UP !! parce que c'est vraiment urgent !
0
Réponse 3 / 6
Utilisateur anonyme
19 juin 2007 à 23:24
Bonjour

N'installe plus MessengerSkinner c'est de la saloperie !


¤ Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre



¤ Désactive le pare-feu de Windows(SP2) il ne sert à rien puis installe Kerio pour plus de sécurité

Téléchargeable et tutoriel sur cette page :
--> http://redir.fr/gbom

Plus d'info :
->https://kerio.probb.fr/
0
Jujumoumoune
19 juin 2007 à 23:46
voici le rapport

Vois tu quelque chose de louche ??

Clean Navipromo version 2.0.3 commencé le 19/06/2007 à 23:39:14,74

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


*** Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

c:\WINDOWS\system32\xaolfwmr.dat supprimé !
c:\WINDOWS\system32\xaolfwmr.dat.ren supprimé !
C:\windows\system32\xaolfwmr.exe supprimé !
c:\WINDOWS\system32\xaolfwmr_nav.dat supprimé !
c:\WINDOWS\system32\xaolfwmr_nav.dat.ren supprimé !
c:\WINDOWS\system32\xaolfwmr_navps.dat supprimé !
c:\WINDOWS\system32\xaolfwmr_navps.dat.ren supprimé !

** 2ème passage **

C:\WINDOWS\system32\xaolfwmr.exe absent !
C:\WINDOWS\system32\xaolfwmr.dat absent !
C:\WINDOWS\system32\xaolfwmr_nav.dat absent !
C:\WINDOWS\system32\xaolfwmr_navps.dat absent !
C:\WINDOWS\system32\xaolfwmr_navup.dat absent !
C:\WINDOWS\system32\xaolfwmr_navtmp.dat absent !
C:\WINDOWS\system32\xaolfwmr_m2s.xml absent !


C:\WINDOWS\prefetch\xaolfwmr*.pf trouvé !
Copie C:\WINDOWS\prefetch\xaolfwmr*.pf réalise avec succes !
C:\WINDOWS\prefetch\xaolfwmr*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Utilisateur\Application Data ***

...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Utilisateur\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 19/06/2007 à 23:43:21,58 ***
0
Réponse 4 / 6
Utilisateur anonyme
20 juin 2007 à 00:59
ça semble ok, vas dans ajouter/supprimer des programmes et désinstalle Navilog1

Si t'as d'autres souci précise-les ;-)
0
Jujumoumoune
20 juin 2007 à 08:22
Tout a l'air d'aller bien, plus de popup intempestifs... Cependant....

Mon analyse AVG me dit que j'ai des fichiers déplacés dans mon répertoire system32, comment les remettre à leur place??

Autre souci xaolfwmr.exe (dans system32) injecte un code dangereux selon Sunbelt. Et je ne trouve pas ce programme dans le dossier indiqué. Avec quoi est ce que je peux le supprimer ? (mode sans echec?)

Merci pour ce que tu as déjà fait !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Utilisateur anonyme
20 juin 2007 à 08:44
Quels fichiers concernant AVG ?


Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 4 et valide.

Le fix va te demander de saisir le nom de fichier.
Saisies ce qui est en gras ci-dessous et rien d'autre puis valide:

xaolfwmr

Le fix va te demander de le resaisir, fais-le et valide

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau


ça ne sera pas terminé
0
Jujumoumoune
20 juin 2007 à 09:18
Il me demande de redemarrer en mode sans échec pour l'option 4. Je le fais ?

Les fichiers changé dans l'analyse AVG sont :

-kernell32.dll
-user32.dll
-shell32.dll
-nstosknl.exe

Et j'ai un fichier error sous drivers/etc/hosts

Comment les restaurer ??
0
Réponse 6 / 6
Utilisateur anonyme
20 juin 2007 à 10:17
Oui, fais-le.


Ensuite :

Télécharge et installe AVG anti-spyware : mets le à jour
Tu fais un scan complet de ton système, dès qu'il a fini.
Si il te trouve des espions,supprime les. Enregistre le rapport et colle le ici stp

Téléchargeable et tutoriel sur cette page :
--> http://redir.fr/gsel

Si tu n'arrives pas à le mettre à jour prends ici les mises à jour
http://downloads.ewido.net/avgas-signatures-full-current.exe


ET


Télécharge HostsXpert
http://www.funkytoad.com/download/HostsXpert.zip

Dézippe-le sur ton bureau, double clic sur hoster.exe
Sur la droite clic sur "Restore Microsoft's Hosts file"
Puis ferme le programme.


Pour "finir" :

Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

https://www.bitdefender.com/toolbox/
0
Jujumoumoune
20 juin 2007 à 12:02
C'était long !!!!

Mais voila... Rien de grave apparement....

En ce qui concerne l'analyse AVG l'erreur est réparée grace a HostsXpert mais les fichiers changé apparaissent toujours.

Sinon en gros je n'ai plus de popup... Je pense que je suis en voie de guérison

J'ai pris comme "traitement" AVG + AVG antispyware + Rogue Remover + CCleaner + Sunbelt (en pare feu).....

Penses que tu que c'est une combinaison complète ???

Sinon merci de me refaire une nouvelle ordonnance !! Lol




---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 11:54:56 20/06/2007

+ Résultat de l'analyse:



C:\Documents and Settings\Utilisateur\Cookies\utilisateur@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@revsci[2].txt -> TrackingCookie.Revsci : Nettoyé.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport
0
Jujumoumoune
20 juin 2007 à 13:05
Et voila mon scan bitdefender....
Je crois que c'est pas tout bon

Tu peux me dire comment faire ?

Merci


Statistics

Time
01:37:18

Files
205056

Folders
5434

Boot Sectors
3

Archives
7551

Packed Files
16656




Results

Identified Viruses
1

Infected Files
1

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
1




Engines Info

Virus Definitions
514480

Engine build
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)

Scan plugins
13

Archive plugins
31

Unpack plugins
5

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\WINDOWS\PACK.EPK.ren=>(NSIS 2g)=>lzma_solid_nsis0009
Infected with: Backdoor.Skinymes.Agent.A

C:\WINDOWS\PACK.EPK.ren=>(NSIS 2g)=>lzma_solid_nsis0009
Disinfection failed

C:\WINDOWS\PACK.EPK.ren=>(NSIS 2g)=>lzma_solid_nsis0009
Deleted

C:\WINDOWS\PACK.EPK.ren=>(NSIS 2g)
Update failed
0
Jujumoumoune > Jujumoumoune
20 juin 2007 à 15:09
Plus de popup depuis 2h ca devrait etre bon...

Merci beaucoup beaucoup beaucoup !!
0

Discussions similaires

recherche à partir de la barre d'adresse
Sylviane -
Lulin -

11 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses