A mon tour d'être infecté par spyware-secure

3an83 Messages postés 12 Statut Membre -  
 Utilisateur anonyme -
Bonjour à tous. Je suis à mon tour infecté pas plein de fenêtres de pub, avec très souvent la fenêtre spyware-secure.com me demandant de télécharger un antivirus ... chose que je n'ai pas faite car je flaire le piège, et d'ailleurs les forums me le montrent. J'ai Kaspersky et j'ai essayé les autres outils classiques (adaware, spybot, ...)
En consultant les forums, j'ai suivi la procédure avec navilog et je joins le résultat ci-dessous.

Merci de m'aider pour les prochaines étapes. J'attends un avis éclairé avant de lancer l'option 2 de navilog.

Pascal

Config: XP SP2, explorer 6.0

Rapport Navilog:

Search Navipromo version 2.0.8 commencé le 08/09/2007 à 18:00:18,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

MessengerSkinner

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/08/07 at 18:00:20.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/08/07 at 18:02:16 (return code = 0).

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-507921405-1078081533-725345543-1006\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
**
C:\WINDOWS\system32\jarljhul.dat trouvé !
***
****
C:\WINDOWS\system32\jarljhul_navps.dat trouvé !
*****
C:\WINDOWS\system32\jarljhul_nav.dat trouvé !
******
*******
********

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Recherche avec GenericNaviSearch Beta ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

C:\WINDOWS\system32\hxhukdgqt.exe trouvé !
C:\WINDOWS\system32\hynfnlbdsm.exe trouvé !
C:\WINDOWS\system32\tcwnfnn.exe trouvé !

Fichiers suspects :

C:\WINDOWS\system32\bqratxwjz.exe trouvé !
C:\WINDOWS\system32\cdvyej.exe trouvé !
C:\WINDOWS\system32\jarljhul.exe trouvé !
C:\WINDOWS\system32\kcgktut.exe trouvé !
C:\WINDOWS\system32\nnvxviit.exe trouvé !
C:\WINDOWS\system32\ofiqcwj.exe trouvé !
C:\WINDOWS\system32\opusqv.exe trouvé !
C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
C:\WINDOWS\system32\rdfytaamw.exe trouvé !
C:\WINDOWS\system32\robbwui.exe trouvé !
C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
C:\WINDOWS\system32\vvexvov.exe trouvé !

*** Analyse Terminé le 08/09/2007 à 18:02:29,01 ***
Configuration: Windows XP
Internet Explorer 6.0

17 réponses

  1. Utilisateur anonyme
     
    SLT

    ok il a bien trouvé l´infection

    2eme etape:

    ¤Démarre en mode sans échec :

    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter

    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.

    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !

    (Si F8 ne marche pas utilise la touche F5).

    Double clique sur navilog1.bat

    Laisses-toi guider.

    Au menu principal, choisis 2 et valides.

    Indique le mode de nettoyage "automatique"

    Laisses toi guider et réponds aux questions éventuelles
    Ton bureau va disparaitre, c'est normal.

    Patientes jusqu'au message :

    *** Nettoyage Termine le ..... ***

    Appuies sur une touche comme demandé, le bloc note va s'ouvrir.

    Sauvegardes le rapport de manière à le retrouver

    Refermes le bloc note.

    Ton bureau va réapparaitre

    Redémarres normalement et copies-colles l'intégralité dans une réponse.

    Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
    Tapes explorer et valides. Cela te fera apparaitre ton bureau

    poste le rapport stp...
    =============================================================================

    - Hijackthis - Outil de diagnostic et réparation
    télécharge HijackThis ici:
    http://telechargement.zebulon.fr/138-hijackthis-1991.html
    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif
    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    http://www.tutoriaux-excalibur.com/hijackthis.htm

    Je vous conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    =============================================================
    0
  2. 3an83 Messages postés 12 Statut Membre
     
    Merci Nanard. J'ai suivi tes consignes, et je t eposte le résultat:

    Clean Navipromo version 2.0.8 commencé le 08/09/2007 à 19:21:36,21

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

    Mode suppression automatique avec prise en charge résultats Blacklight

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    C:\Program Files\MessengerSkinner ...suppression...
    C:\Program Files\MessengerSkinner supprimé !

    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Suppression dossiers dans C:\Documents and Settings\Sophie

    ...\Application Data\MessengerSkinner ...suppression...
    ...\Application Data\MessengerSkinner supprimé !

    *** Suppression fichiers ***

    C:\WINDOWS\pack.epk supprimé !
    C:\WINDOWS\system32\nvs2.inf supprimé !
    C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !

    *** Sauvegarde du registre vers dossier Backupnavi ***

    sauvegarde du registre réalise avec succes !

    *** Nettoyage registre ***

    Nettoyage registre Ok

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche et Suppression Heuristique :

    *
    **
    C:\WINDOWS\System32\jarljhul.dat trouvé !
    Copie C:\WINDOWS\system32\jarljhul.dat réalise avec succes !
    C:\WINDOWS\system32\jarljhul.dat supprimé !

    ***
    ****
    C:\WINDOWS\System32\jarljhul_navps.dat trouvé !
    Copie C:\WINDOWS\system32\jarljhul_navps.dat réalise avec succes !
    C:\WINDOWS\system32\jarljhul_navps.dat supprimé !

    *****
    C:\WINDOWS\System32\jarljhul_nav.dat trouvé !
    Copie C:\WINDOWS\system32\jarljhul_nav.dat réalise avec succes !
    C:\WINDOWS\system32\jarljhul_nav.dat supprimé !

    ******
    *******
    ********

    3)Contrôle présence clés Rootkit dans le registre :

    Aucune autre clés présente dans le registre !

    4)Certificats :

    Certificat Egroup supprimé !

    *** Recherche avec GenericNaviSearch Beta ***
    !!! Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    Fichiers trouvés supprimés avec backups :

    C:\WINDOWS\System32\hxhukdgqt.exe trouvé !
    Copie C:\WINDOWS\system32\hxhukdgqt.exe réalise avec succes !
    C:\WINDOWS\system32\hxhukdgqt.exe supprimé !

    C:\WINDOWS\System32\hynfnlbdsm.exe trouvé !
    Copie C:\WINDOWS\system32\hynfnlbdsm.exe réalise avec succes !
    C:\WINDOWS\system32\hynfnlbdsm.exe supprimé !

    C:\WINDOWS\System32\tcwnfnn.exe trouvé !
    Copie C:\WINDOWS\system32\tcwnfnn.exe réalise avec succes !
    C:\WINDOWS\system32\tcwnfnn.exe supprimé !

    Fichiers suspects non supprimés :

    C:\WINDOWS\system32\bqratxwjz.exe trouvé !
    C:\WINDOWS\system32\cdvyej.exe trouvé !
    C:\WINDOWS\system32\jarljhul.exe trouvé !
    C:\WINDOWS\system32\kcgktut.exe trouvé !
    C:\WINDOWS\system32\nnvxviit.exe trouvé !
    C:\WINDOWS\system32\ofiqcwj.exe trouvé !
    C:\WINDOWS\system32\opusqv.exe trouvé !
    C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
    C:\WINDOWS\system32\rdfytaamw.exe trouvé !
    C:\WINDOWS\system32\robbwui.exe trouvé !
    C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
    C:\WINDOWS\system32\vvexvov.exe trouvé !

    *** Nettoyage termine le 08/09/2007 à 19:23:40,78 ***

    J'ai également fait tourné Hijackthis, et le log est le suivant:

    Logfile of HijackThis v1.99.1
    Scan saved at 19:28:46, on 08/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    c:\jetsuite\jsdaemon.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\Program Files\TomTom HOME\TomTomHOME.exe
    C:\windows\system32\jarljhul.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\jetsuite\JETSTAT.EXE
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    c:\jetsuite\JSFMAN.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
    O4 - HKLM\..\Run: [jarljhul] c:\windows\system32\jarljhul.exe jarljhul
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Etat de HP LaserJet 3150.lnk = C:\jetsuite\JETSTAT.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Live Menu.lnk = C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    O4 - Global Startup: Register.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\Register.exe
    O4 - Global Startup: Wallpaper Changer.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    O4 - Global Startup: WPChanger.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  3. Utilisateur anonyme
     
    Télécharge SmitfraudFix
    Ouvre ce lien (merci a S!RI pour ce programme)
    http://siri.urz.free.fr/Fix/SmitfraudFix.php
    et télécharge SmitfraudFix.exe.

    Regarde le tuto

    Exécute le en choisissant l’option 1,
    il va générer un rapport
    Copie/colle le sur le poste stp.
    0
  4. 3an83 Messages postés 12 Statut Membre
     
    Voici le résultat:

    SmitFraudFix v2.221

    Rapport fait à 20:19:38,03, 08/09/2007
    Executé à partir de
    C:\Documents and Settings\Sophie & Pascal\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    c:\jetsuite\jsdaemon.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\Program Files\TomTom HOME\TomTomHOME.exe
    C:\windows\system32\jarljhul.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\jetsuite\JETSTAT.EXE
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    c:\jetsuite\JSFMAN.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SOPHIE~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: D-Link AirPlus G DWL-G510 Wireless PCI Adapter(rev.C) - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 212.27.53.252

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{4FFBFFBC-2AD5-4A20-B7B6-536A41FA8307}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{4FFBFFBC-2AD5-4A20-B7B6-536A41FA8307}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{4FFBFFBC-2AD5-4A20-B7B6-536A41FA8307}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    OK

    Tu relances hijackthis et tu coches la case ci dessous. Ensuite tu clic ssur fixer.

    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    ================================================================================
    pour supprimer tes traces utilise

    CCLEANER: (lance un nettoyage et répare erreurs)

    http://www.infos-du-net.com/telecharger/CCleaner,0301-1039.html
    ____________________

    Colle le rapport :
    Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

    • Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
    • Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
    • Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.

    http://kerio.probb.fr/tuto-Clean-h37.html

    pour supprimer tes traces utilise

    CCLEANER: (lance un nettoyage et répare erreurs)

    http://www.infos-du-net.com/telecharger/CCleaner,0301-1039.html
    ____________________

    Colle le rapport :
    Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

    • Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
    • Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
    • Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.

    http://kerio.probb.fr/tuto-Clean-h37.html
    =============================================================================
    Post un rapport hijackthis.Merci
    0
  7. 3an83
     
    j'ai bien hijackthis en cochant la case en question. J'ai également fait tourné CCleaner

    Voilà le nouveau log hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:53:03, on 08/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    c:\jetsuite\jsdaemon.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\Program Files\TomTom HOME\TomTomHOME.exe
    C:\windows\system32\jarljhul.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\jetsuite\JETSTAT.EXE
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    c:\jetsuite\JSFMAN.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
    O4 - HKLM\..\Run: [jarljhul] c:\windows\system32\jarljhul.exe jarljhul
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Etat de HP LaserJet 3150.lnk = C:\jetsuite\JETSTAT.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Live Menu.lnk = C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    O4 - Global Startup: Register.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\Register.exe
    O4 - Global Startup: Wallpaper Changer.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    O4 - Global Startup: WPChanger.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  8. Utilisateur anonyme
     
    Tres bien

    Toujours des problemes?
    0
  9. 3an83 Messages postés 12 Statut Membre
     
    Hélas oui ... j'ai toujours la fénêtre spyware-secure qui apparait.

    J'ai refait tourné Navilog. Voici le résultat:

    Search Navipromo version 2.0.8 commencé le 08/09/2007 à 21:30:00,54

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of October, 2007.
    Version information: 2.2.1064.

    [+] Started on 09/08/07 at 21:30:01.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items ..............................
    [+] Scan complete.
    [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 09/08/07 at 21:31:47 (return code = 0).

    *** Recherche fichiers ***

    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !
    HKEY_USERS\S-1-5-21-507921405-1078081533-725345543-1006\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    C:\WINDOWS\system32\jarljhul.dat trouvé !
    **
    C:\WINDOWS\system32\jarljhul.dat trouvé !
    ***
    ****
    C:\WINDOWS\system32\jarljhul_navps.dat trouvé !
    *****
    C:\WINDOWS\system32\jarljhul_nav.dat trouvé !
    ******
    *******
    ********

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    *** Recherche avec GenericNaviSearch Beta ***
    !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    Fichiers trouvés :

    Aucun Fichier trouvé !

    Fichiers suspects :

    C:\WINDOWS\system32\bqratxwjz.exe trouvé !
    C:\WINDOWS\system32\cdvyej.exe trouvé !
    C:\WINDOWS\system32\jarljhul.exe trouvé !
    C:\WINDOWS\system32\kcgktut.exe trouvé !
    C:\WINDOWS\system32\nnvxviit.exe trouvé !
    C:\WINDOWS\system32\ofiqcwj.exe trouvé !
    C:\WINDOWS\system32\opusqv.exe trouvé !
    C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
    C:\WINDOWS\system32\rdfytaamw.exe trouvé !
    C:\WINDOWS\system32\robbwui.exe trouvé !
    C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
    C:\WINDOWS\system32\vvexvov.exe trouvé !

    *** Analyse Terminé le 08/09/2007 à 21:31:54,78 ***
    0
  10. Utilisateur anonyme
     
    2eme etape:

    ¤Démarre en mode sans échec :

    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter

    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.

    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !

    (Si F8 ne marche pas utilise la touche F5).

    Double clique sur navilog1.bat

    Laisses-toi guider.

    Au menu principal, choisis 2 et valides.

    Indique le mode de nettoyage "automatique"

    Laisses toi guider et réponds aux questions éventuelles
    Ton bureau va disparaitre, c'est normal.

    Patientes jusqu'au message :

    *** Nettoyage Termine le ..... ***

    Appuies sur une touche comme demandé, le bloc note va s'ouvrir.

    Sauvegardes le rapport de manière à le retrouver

    Refermes le bloc note.

    Ton bureau va réapparaitre

    Redémarres normalement et copies-colles l'intégralité dans une réponse.

    Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
    Tapes explorer et valides. Cela te fera apparaitre ton bureau

    poste le rapport stp... et refais un log Hitjakthis
    0
  11. 3an83 Messages postés 12 Statut Membre
     
    Voilà le résultat

    Clean Navipromo version 2.0.8 commencé le 09/09/2007 à 14:47:54,89

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

    Mode suppression automatique avec prise en charge résultats Blacklight

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Suppression dossiers dans C:\Documents and Settings\Sophie

    *** Suppression fichiers ***

    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !

    *** Sauvegarde du registre vers dossier Backupnavi ***

    sauvegarde du registre réalise avec succes !

    *** Nettoyage registre ***

    Nettoyage registre Ok

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche et Suppression Heuristique :

    *
    C:\WINDOWS\System32\jarljhul.dat trouvé !
    Copie C:\WINDOWS\system32\jarljhul.dat réalise avec succes !
    C:\WINDOWS\system32\jarljhul.dat supprimé !

    **
    ***
    ****
    C:\WINDOWS\System32\jarljhul_navps.dat trouvé !
    Copie C:\WINDOWS\system32\jarljhul_navps.dat réalise avec succes !
    C:\WINDOWS\system32\jarljhul_navps.dat supprimé !

    *****
    C:\WINDOWS\System32\jarljhul_nav.dat trouvé !
    Copie C:\WINDOWS\system32\jarljhul_nav.dat réalise avec succes !
    C:\WINDOWS\system32\jarljhul_nav.dat supprimé !

    ******
    *******
    ********

    3)Contrôle présence clés Rootkit dans le registre :

    Aucune autre clés présente dans le registre !

    4)Certificats :

    Certificat Egroup supprimé !

    *** Recherche avec GenericNaviSearch Beta ***
    !!! Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    Fichiers trouvés supprimés avec backups :

    Aucun Fichier trouvé !

    Fichiers suspects non supprimés :

    C:\WINDOWS\system32\bqratxwjz.exe trouvé !
    C:\WINDOWS\system32\cdvyej.exe trouvé !
    C:\WINDOWS\system32\jarljhul.exe trouvé !
    C:\WINDOWS\system32\kcgktut.exe trouvé !
    C:\WINDOWS\system32\nnvxviit.exe trouvé !
    C:\WINDOWS\system32\ofiqcwj.exe trouvé !
    C:\WINDOWS\system32\opusqv.exe trouvé !
    C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
    C:\WINDOWS\system32\rdfytaamw.exe trouvé !
    C:\WINDOWS\system32\robbwui.exe trouvé !
    C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
    C:\WINDOWS\system32\vvexvov.exe trouvé !

    *** Nettoyage termine le 09/09/2007 à 14:49:59,15 ***

    Et le rapport Hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:52:06, on 09/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    c:\jetsuite\jsdaemon.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\NOTEPAD.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\Program Files\TomTom HOME\TomTomHOME.exe
    C:\windows\system32\jarljhul.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\jetsuite\JETSTAT.EXE
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    c:\jetsuite\JSFMAN.EXE
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
    O4 - HKLM\..\Run: [jarljhul] c:\windows\system32\jarljhul.exe jarljhul
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Etat de HP LaserJet 3150.lnk = C:\jetsuite\JETSTAT.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Live Menu.lnk = C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    O4 - Global Startup: Register.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\Register.exe
    O4 - Global Startup: Wallpaper Changer.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    O4 - Global Startup: WPChanger.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  12. 3an83 Messages postés 12 Statut Membre
     
    J'ai lancé f-secure blacklight, mais il n'a rien trouvé (0 items found) ... décidément, cela devient vicieux. Et la fénêtre de spyware-secure apparait toujours, ainsi que les pubs.
    0
  13. Utilisateur anonyme
     
    Tu relances hijackthis et tu coches la case ci dessous.Ensuite tu clic sur fixer.Post un rapport hijackthis

    4 - HKLM\..\Run: [jarljhul] c:\windows\system32\jarljhul.exe jarljhul

    Supprimme ca

    C:\windows\system32\jarljhul.exe
    0
  14. 3an83 Messages postés 12 Statut Membre
     
    Voilà le résultat

    Logfile of HijackThis v1.99.1
    Scan saved at 19:53:58, on 09/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    c:\jetsuite\jsdaemon.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\Program Files\TomTom HOME\TomTomHOME.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\jetsuite\JETSTAT.EXE
    C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    c:\jetsuite\JSFMAN.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Etat de HP LaserJet 3150.lnk = C:\jetsuite\JETSTAT.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Live Menu.lnk = C:\Program Files\Fichiers communs\efax\dllcmd32.exe
    O4 - Global Startup: Register.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\Register.exe
    O4 - Global Startup: Wallpaper Changer.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    O4 - Global Startup: WPChanger.lnk = C:\Program Files\AzureBay\AzureBay Screen Saver\WPChanger.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    0
  15. Utilisateur anonyme
     
    Tu refait navilog mais en mode sans echec.Post le rapport.
    0
  16. 3an83 Messages postés 12 Statut Membre
     
    Voici le rapport avec navilog:

    Search Navipromo version 2.0.8 commencé le 09/09/2007 à 21:56:22,12

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

    Executé en mode sans échec

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of October, 2007.
    Version information: 2.2.1064.

    [+] Started on 09/09/07 at 21:56:28.
    [-] ERROR: F-Secure BlackLight cannot be used in safe mode.
    [+] Exited on 09/09/07 at 21:56:28 (return code = 3).

    *** Recherche fichiers ***

    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !
    HKEY_USERS\S-1-5-21-507921405-1078081533-725345543-1006\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    C:\WINDOWS\system32\jarljhul.dat trouvé !
    **
    C:\WINDOWS\system32\jarljhul.dat trouvé !
    ***
    ****
    C:\WINDOWS\system32\jarljhul_navps.dat trouvé !
    *****
    C:\WINDOWS\system32\jarljhul_nav.dat trouvé !
    ******
    *******
    ********

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    *** Recherche avec GenericNaviSearch Beta ***
    !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    Fichiers trouvés :

    Aucun Fichier trouvé !

    Fichiers suspects :

    C:\WINDOWS\system32\bqratxwjz.exe trouvé !
    C:\WINDOWS\system32\cdvyej.exe trouvé !
    C:\WINDOWS\system32\kcgktut.exe trouvé !
    C:\WINDOWS\system32\nnvxviit.exe trouvé !
    C:\WINDOWS\system32\ofiqcwj.exe trouvé !
    C:\WINDOWS\system32\opusqv.exe trouvé !
    C:\WINDOWS\system32\qsnrdmezj.exe trouvé !
    C:\WINDOWS\system32\rdfytaamw.exe trouvé !
    C:\WINDOWS\system32\robbwui.exe trouvé !
    C:\WINDOWS\system32\ujsccaxqf.exe trouvé !
    C:\WINDOWS\system32\vvexvov.exe trouvé !

    *** Analyse Terminé le 09/09/2007 à 21:57:14,07 ***

    J'ai également fait un scan en ligne avec bitdefender, et le résultat est le suivant:

    BitDefender Online Scanner

    Rapport d'analyse généré à: Sun, Sep 09, 2007 - 21:49:24

    Voie d'analyse: A:\;C:\;D:\;E:\;F:\;

    Statistiques

    Temps
    01:43:03

    Fichiers
    513219

    Directoires
    9084

    Secteurs de boot
    5

    Archives
    117945

    Paquets programmes
    16129

    Résultats

    Virus identifiés
    6

    Fichiers infectés
    13

    Fichiers suspects
    0

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    13

    Info sur les moteurs

    Définition virus
    800249

    Version des moteurs
    AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

    Analyse des plugins
    14

    Archive des plugins
    38

    Unpack des plugins
    7

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    C:\WINDOWS\system32\jarljhul.exe
    Infecté par: Trojan.Skintrim.AQH

    C:\WINDOWS\system32\jarljhul.exe
    Echec de la désinfection

    C:\WINDOWS\system32\jarljhul.exe
    Supprimé

    C:\WINDOWS\system32\spqafiny.exe
    Infecté par: Trojan.Skintrim.LX

    C:\WINDOWS\system32\spqafiny.exe
    Echec de la désinfection

    C:\WINDOWS\system32\spqafiny.exe
    Supprimé

    C:\WINDOWS\system32\xtvfyjx.exe
    Infecté par: Trojan.Skintrim.ADN

    C:\WINDOWS\system32\xtvfyjx.exe
    Echec de la désinfection

    C:\WINDOWS\system32\xtvfyjx.exe
    Supprimé

    D:\AAA - Mes documents\0 - David\MSN\messengerskinner.exe
    Détecté avec: Adware.Navipromo.BYD

    D:\AAA - Mes documents\0 - David\MSN\messengerskinner.exe
    Echec de la désinfection

    D:\AAA - Mes documents\0 - David\MSN\messengerskinner.exe
    Supprimé

    D:\System Volume Information\_restore{85361B51-E3D2-4150-9DE1-A231277EACB7}\RP290\A0035699.exe
    Détecté avec: Adware.Navipromo.BYD

    D:\System Volume Information\_restore{85361B51-E3D2-4150-9DE1-A231277EACB7}\RP290\A0035699.exe
    Echec de la désinfection

    D:\System Volume Information\_restore{85361B51-E3D2-4150-9DE1-A231277EACB7}\RP290\A0035699.exe
    Supprimé

    F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique (1).dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Détecté avec: Adware.BrilliView.A

    F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique (1).dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Echec de la désinfection

    F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique (1).dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Supprimé

    F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique (1).dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
    Echec de la mise à jour

    F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique.dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Détecté avec: Adware.BrilliView.A

    F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique.dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Echec de la désinfection

    F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique.dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Supprimé

    F:\Documents and Settings\Pascal\Local Settings\Application Data\Identities\{DC1C625C-6AB5-4DD0-8B65-C93A35F37B47}\Microsoft\Outlook Express\Musique.dbx=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
    Echec de la mise à jour

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc201.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Détecté avec: Adware.BrilliView.A

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc201.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Echec de la désinfection

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc201.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Supprimé

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc201.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
    Echec de la mise à jour

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc278.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Détecté avec: Adware.BrilliView.A

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc278.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Echec de la désinfection

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc278.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Supprimé

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc278.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
    Echec de la mise à jour

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc365.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Détecté avec: Adware.BrilliView.A

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc365.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Echec de la désinfection

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc365.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Supprimé

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc365.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
    Echec de la mise à jour

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc446.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Détecté avec: Adware.BrilliView.A

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc446.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Echec de la désinfection

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc446.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Supprimé

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc446.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
    Echec de la mise à jour

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc525.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Détecté avec: Adware.BrilliView.A

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc525.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Echec de la désinfection

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc525.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)=>bdeviewer.exe
    Supprimé

    F:\RECYCLER\S-1-5-21-839522115-1060284298-485315219-1003\Dc525.bak=>(message 5)=>[Subject: coucou][Date: Sat, 26 Jan 2002 12:46:24 EST]=>(MIME part)=>KaZaA_FR.ZIP=>KaZaA_FR.exe=>(Instyler o)=>(Instyler Module 24)
    Echec de la mise à jour

    F:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HF3GSYQR\teller2[1].htm
    Infecté par: Trojan.Small.AAA

    F:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HF3GSYQR\teller2[1].htm
    Echec de la désinfection

    F:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\HF3GSYQR\teller2[1].htm
    Supprimé

    0
  17. Utilisateur anonyme
     
    Désactiver restauration

    il faut la désactiver
    pour ça tu fais clic droit sur poste de travail
    propriété tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    --------------
    demarre en mode sans echec et execute les 3 programmes
    pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
    Une fois les programmes executes reactiver la restauration
    ================================================================================
    Telecharge.clic sur le lien.
    https://www.emsisoft.com/fr/home/antimalware/
    Fait une mise a jour et supprime tout ce qu’il trouve.Colle un rapport.
    ==================================================================================
    * Ad-Aware

    Téléchargement :
    ad aware
    Le patch en Français pour Ad-Aware (gratuit) :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
    Tuto :
    http://perso.orange.fr/entraide-hijackthis/AdAware/AdAware.htm

    * Spybot :

    Téléchargement :
    spybot
    voir demo d utilisation (merci Balltrap)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    Met les à jour comme indiqués (voir les démos), et lance les en mode sans echec.Vire tout ce qu'ils te trouvent et ça devrait être bon.
    0