Dois-je formater ?

Résolu
LaetitiaH Messages postés 169 Statut Membre -  
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonsoir,
Un virus empêche l'installation d'antivirus voire même les "désinstalle". J'ai fait un scan, je n'y connais rien mais j'ai repéré cette ligne sur laquelle "wintems.exe" était inscrit. J'ai vu que d'autres membres avaient eu des soucis, difficiles à résoudre avec. Pensez-vous qu'il faille que je formate mon disque ou bien y a-t-il une manip efficace (sachant que ni spybot ni avgs ni kerio ne tournent sur mon pc).
Merci beaucoup pour votre aide.
Laëtitia
Configuration: Windows XP
Internet Explorer 6.0


Search Navipromo version 2.0.5 commencé le 30/07/2007 à 1:25:03,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\L‚opoldine\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\wintems.exe

Processus caché(s) dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\wintems.exe

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :

*** Analyse Terminé le 30/07/2007 à 1:29:44,70 ***

Logfile of HijackThis v1.99.1
Scan saved at 01:43:14, on 30/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\FICHIE~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Léopoldine\Local Settings\Temporary Internet Files\Content.IE5\LYRH9ASM\EliBaglA[1].exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S8C.tmp" /EF "HKCU"
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6104941C-89FD-4177-AFEF-9E086DE58577}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

19 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour

    doublon

    mais c'est une infection bagle.

    Donc elibagla.

    On verra sur le post originel si le rootkit continue à bloquer.

    @+
    0
    1. LaetitiaH Messages postés 169 Statut Membre 1
       
      J'ai déjà fait cette manip... je recommence mais je suis pessimiste.
      Merci encore pour ton aide.
      0
  2. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Allo pour l'instant ,télécharges ceci: http://www.downloads.subratam.org/KillBox.exe
    Et redémarres puis réessaies d'installer ton Anti-virus!
    0
    1. LaetitiaH Messages postés 169 Statut Membre 1
       
      Une fois téléchargé, je dois faire quoi ?
      0
  3. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Tu ne dors pas beaucoup Lyonnais! Prends soins de toi!
    0
  4. LaetitiaH Messages postés 169 Statut Membre 1
     
    Sun Jul 29 19:06:43 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\LéOPOLDINE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\LéOPOLDINE\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle (rootkit)
    C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
    Eliminada Carpeta "%WinDir%\exefld"
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Sun Jul 29 19:06:59 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\system32\FLEC003.EXE --> Eliminado Bagle.dldr

    Sun Jul 29 19:24:30 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    Eliminada Carpeta "%AppData%\Hidires"

    Sun Jul 29 19:24:32 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Mon Jul 30 01:53:30 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\LéOPOLDINE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\LéOPOLDINE\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle (rootkit)
    Eliminada Carpeta "%WinDir%\exefld"
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Mon Jul 30 01:53:42 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Search Navipromo version 2.0.5 commencé le 30/07/2007 à 1:58:29,68

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\L‚opoldine\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    Fichier(s) caché(s) dans C:\WINDOWS\system32 :

    Processus caché(s) dans C:\WINDOWS\system32 :

    C:\WINDOWS\system32\hldrrr.exe
    C:\WINDOWS\system32\wintems.exe

    *** Recherche fichiers ***

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    **
    ***
    ****
    *****
    ******
    *******
    ********

    3)Recherche Certificats :

    *** Analyse Terminé le 30/07/2007 à 2:03:16,82 ***
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    l'heure que j'aille dormir !

    supprime la version que tu as de elibagla et recommence le téléchargement.

    Refais passer elibagla si la version téléchargée est la v10.48 ou ultérieure.

    Refais passer aussi navilog choix 1.

    si tu as toujours la v10.47,

    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    @ +
    0
  7. LaetitiaH
     
    J'ai l'impression que c'est bon ! Pouvez-vous vérifier s'il vous plait ? Je tente de réinstaller avgs. Vous conseillez quoi comme antivirus ?

    Search Navipromo version 2.0.5 commencé le 30/07/2007 à 2:14:08,75

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\L‚opoldine\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of October, 2007.
    Version information: 2.2.1064.

    [+] Started on 07/30/07 at 02:14:10.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items ...............................................
    [+] Scan complete.
    [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 07/30/07 at 02:18:43 (return code = 0).

    *** Recherche fichiers ***

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    **
    ***
    ****
    *****
    ******
    *******
    ********

    3)Recherche Certificats :

    *** Analyse Terminé le 30/07/2007 à 2:18:53,42 ***
    0
  8. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Allo! Ceux-ci viennent toujours en pairs
    C:\WINDOWS\system32\hldrrr.exe
    C:\WINDOWS\system32\wintems.exe
    Déjà confronté avec l'outil Killbox puis éliminé et le hldrrr.exe manuellement et Cleanup
    0
  9. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Il y a une chose ici qui est énervante, il est possible que tu ne puisses pas aller en mode sans échec si la désactivation des restaurations n'est pas appliqué . Alors, il ne faudrait pas refaire deux et trois fois les exercices de nettoyage inutilement teminant avec Ccleaner bien sur!
    Alors désactives la restauration puis une fois le verdict clean tu réactives MAIS PAS AVANT !
    Bon courage ,moi je vais me reposer !
    0
    1. LaetitiaH
       
      Merci mille fois, il semble que cela ait fonctionné. En tout cas, spybot, avgs et active virus shield tournent. Merci encore pour votre aide.
      Laëtitia
      0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Plus de trace dans le log de navifix, les outils (dont l'antivirus) fonctionnent, les signes sont très favorables.

    Poste le rapport de elibagla,

    Désactive puis réactive la restauration système (tutoriel ici :
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924 )

    redémarre l'ordinateur

    remets un log Hijackthis.

    @+
    0
  11. LaetitiaH Messages postés 169 Statut Membre 1
     
    Bonjour,
    Active virus shield vient de trouver ceci, pouvez-vous me dire de quoi il s'agit et ce que je dois en faire ?
    Merci

    detected: adware not-a-virus:AdWare.Win32.NaviPromo.gen File: C:\Program Files\Navilog1\Backupnavi\ybdlwjp.exe//PE_Patch.PECompact//PecBundle//PECompact
    0
  12. LaetitiaH Messages postés 169 Statut Membre 1
     
    Au secours ! Il est encore là...
    detected: Trojan program Trojan-Downloader.Win32.Bagle.ch File: C:\WINDOWS\system32\HLDRRR.EXE.VIR
    0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Ren,

    1) Hijackthis

    2) elibagle

    3) navifix option 1

    Tu n'accèdes au NET que pour les besoins de la désinfection.
    @+
    0
    1. LaetitiaH Messages postés 169 Statut Membre 1
       
      Bonsoir,
      J'ai perdu ma connexion sur toute la journée, je ne sais pas si cela a un lien. Voici le log Hijackthis, je fais le reste.
      Merci.
      0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    c'est toi qui a mis ceci dans la zone sure ?

    O15 - Trusted Zone: *.canalplay.com
    O15 - Trusted Zone: *.canalplusactive.com
    O15 - Trusted Zone: *.canalplay.com (HKLM)
    O15 - Trusted Zone: *.canalplusactive.com (HKLM)

    @+
    0
    1. LaetitiaH Messages postés 169 Statut Membre 1
       
      Non, je ne sais pas même de quoi il s'agit.
      0
  15. LaetitiaH Messages postés 169 Statut Membre 1
     
    Voici le rapport ebagle. Je ne sais plus comment télécharger navifix. Peux-tu me redonner le lien s'il te plait.

    Sun Jul 29 19:06:43 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\LéOPOLDINE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\LéOPOLDINE\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle (rootkit)
    C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
    Eliminada Carpeta "%WinDir%\exefld"
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Sun Jul 29 19:06:59 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\system32\FLEC003.EXE --> Eliminado Bagle.dldr

    Sun Jul 29 19:24:30 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    Eliminada Carpeta "%AppData%\Hidires"

    Sun Jul 29 19:24:32 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Mon Jul 30 01:53:30 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\LéOPOLDINE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
    C:\DOCUMENTS AND SETTINGS\LéOPOLDINE\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle (rootkit)
    Eliminada Carpeta "%WinDir%\exefld"
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Mon Jul 30 01:53:42 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Mon Jul 30 22:46:18 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    Eliminada Carpeta "%AppData%\Hidires"

    Mon Jul 30 22:46:31 2007
    EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Merci.
    PS : Voici ce que active virus shield m'indique. N'est-ce pas douteux ?

    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney.zip/sbRecovery.reg: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney.zip/sbRecovery.ini: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney1.zip/sbRecovery.reg: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney1.zip/sbRecovery.ini: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney2.zip/sbRecovery.reg: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney2.zip/sbRecovery.ini: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney3.zip/sbRecovery.reg: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney3.zip/sbRecovery.ini: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney4.zip/sbRecovery.reg: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney4.zip/sbRecovery.ini: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney5.zip/sbRecovery.reg: is password protected.
    30/07/2007 22:53:34 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MoeMoney5.zip/sbRecovery.ini: is password protected.
    30/07/2007 22:53:35 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WebRebatesTopRebates.zip/jkill.exe: is password protected.
    30/07/2007 22:53:35 File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WebRebatesTopRebates.zip/sbRecovery.ini: is password protected.
    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    alors fait ceci :

    ouvre Internet explorer

    clique options, onglet sécurité, sites de confiance, sites.

    sélectionne les sites un par un et clique sur supprimer.

    Remets un log Hijackthis.
    @+
    0
    1. LaetitiaH Messages postés 169 Statut Membre 1
       
      Canalplay et canalplus étaientt effectivement dans l'onglet des sites de confiance mais restent dans le log après suppression...

      Voici les logs :

      Logfile of HijackThis v1.99.1
      Scan saved at 23:18:26, on 30/07/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\AOL\Active Virus Shield\avp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
      C:\Program Files\AOL\Active Virus Shield\avp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
      C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
      C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
      C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
      C:\Program Files\Adobe\Photoshop 7.0\Photoshop.exe
      C:\Program Files\Windows Media Player\wmplayer.exe
      C:\Program Files\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\Program Files\Wanadoo\Watch.exe
      C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\cmd.exe
      C:\Program Files\navilog1\fsblc.exe
      C:\Program Files\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\FICHIE~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
      O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Program Files\AOL Security Toolbar\tbu4B\AOL_security_toolbar.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [AVP] "C:\Program Files\AOL\Active Virus Shield\avp.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
      O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
      O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S8C.tmp" /EF "HKCU"
      O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
      O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O15 - Trusted Zone: *.canalplay.com (HKLM)
      O15 - Trusted Zone: *.canalplusactive.com (HKLM)
      O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{6104941C-89FD-4177-AFEF-9E086DE58577}: NameServer = 80.10.246.1 80.10.246.132
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Filter: text/html - (no CLSID) - (no file)
      O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing)
      O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe


      Search Navipromo version 2.0.5 commencé le 30/07/2007 à 23:21:00,48

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Poster ce rapport sur le forum pour le faire analyser !!!
      !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

      Fix lancé depuis C:\Program Files\navilog1
      Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

      Executé en mode normal

      *** Recherche Programmes installes ***




      *** Recherche dossiers dans C:\WINDOWS ***




      *** Recherche dossiers dans C:\Program Files ***




      *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




      *** Recherche dossiers dans C:\Documents and Settings\L‚opoldine\Application Data ***



      *** Recherche avec BlackLight Engine/F-secure ***
      BlackLight Engine est un produit de F-secure, pour + d'infos :
      https://www.f-secure.com/en


      F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
      ======================================

      Copyright 2005-2006 F-Secure Corporation. All rights reserved.
      This is a beta version. It will expire on 1st of October, 2007.
      Version information: 2.2.1064.

      [+] Started on 07/30/07 at 23:21:05.
      [+] Initializing ...
      [+] Starting scan, press Ctrl-C to abort.
      [+] Scanning for hidden items .............................................................................................
      [+] Scan complete.
      [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
      [+] Exited on 07/30/07 at 23:32:28 (return code = 0).


      *** Recherche fichiers ***




      *** Recherche cles registre ***


      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



      Recherche Clé Magic Control



      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche fichiers connus:


      2)Recherche Heuristique :
      *
      **
      ***
      ****
      *****
      ******
      *******
      ********

      3)Recherche Certificats :


      *** Analyse Terminé le 30/07/2007 à 23:33:13,85 ***
      0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
    - Enregistre le sur ton bureau

    Double clique sur le OAD pour le lancer

    - nom de fichier à rechercher tape ou fais un copier coller de : canalplay.com
    - Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
    Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

    - Fais un copier / coller de ce rapport dans ton prochain post.

    Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

    Fais la même chose avec :

    canalplusactive.com
    et poste le résultat.
    @+
    0
  18. martin
     
    NON, FAIT PAS CA
    restaure ton pc si cette option est activée.
    bonsoir.
    0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Salut

    explique pourquoi Laetitia ne doit pas faire ce que je lui demande ou dégage.

    Il vaudrait mieux que tu sois convaincant. Il ne doit pas y avoir beaucoup d'exemples où j'ai mis en danger l'ordi de l'internaute.

    OAD est sans danger, même si certains antivirus disent le contraire.

    @+
    0
  20. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Bonjour, il semble ne plus trop y avoir d'activités ici !
    J,ai bcp de difficultés à me connecter c pas possible!
    Brièvement, fixes avec Highjachthis ces 3 lignes: Visitor's assessment Analyzerdetails
    O15 - Trusted Zone: *.canalplay.com (HKLM)

    Genre

    Neutral
    Neutral
    Effacer si vous n’avez pas ajouté vous-même cette page dans vos sites a confiance.
    Visitor's assessment Analyzerdetails
    O15 - Trusted Zone: *.canalplusactive.com (HKLM)

    Genre

    Very safe
    Very safe
    Effacer si vous n’avez pas ajouté vous-même cette page dans vos sites a confiance.
    Visitor's assessment Analyzerdetails
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab

    Genre

    Safe
    Safe
    Fuzzy Algorithmcheck (4.33 / 5.00), Safe afin que tu y vois plus clair Et nettoies avec Ccleaner lent 7 passages NSA puis corriges les erreurs avec aussi Ccleaner !
    Et dans tes navigateurs, désactives les modules active X !
    Il est possible que je ne puisse pas revenir! Bon courage et surtout Patience!
    Viens voir ici dans le billet les commandements :
    https://jalobservateurtextes.wordpress.com/ A+
    0