Aidez-moi... J'ai un problème sur l'ordi d'une amie, et je n'arrive pas à le résoudre... Après un scan avec AVG Free Edition, il lui donne ceci : change C:\WINDOWS\system32\drivers\etc\hosts J'ai ouvert avec le bloc note, le fichier en question et elle n'a que 127.0.0.1 localhost, ce qui, à priori est plutôt bon signe... Mais le problème que détecte AVG est toujours présent, je lui ai installé Spybot, Ad-Aware, et Ccleaner J'ai utilisé le Nettoyeur de Ccleaner, puis suis passé par "Erreurs" et réparé toutes les erreurs jusqu'à ne plus en trouver... Scan (avec les MAJ à jour) de spybot et Ad-Aware, qui trouve des spy que je corrige (remove). Son P.C rame au possible depuis qlq temps, et malgré tous les scans, rien n'y fait vraiment, même la défrag du P.C, il rame régulièrement... J'ai pensé à un Trojan, mais rien n'est détecté... Que pourrais-je faire ?

Bonsoir vous deux, A)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau: < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets) - Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites. Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan. Lorsque le scan sera complété, un rapport apparaîtra sur le bureau. Tu copies et colles ce rapport sur le forum B)- -1°- Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc : - -- Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau -- Ne double-clic pas dessus !! ==> Fais un clic-droit sur le fichier et extraire tout . -- Un nouveau dossier chercher va être créé DiagHelp -- Ouvre-le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) http://img149.imageshack.us/img149/4927/screenshot173gl8.gif > -Une fenêtre va s'ouvrir, choisis l'option 1 -- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande. - -ATTENTION : Pendant l'analyse, à la fin du rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas ! - -- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.. Ce dernier se trouve sur C:\resultat.txt -Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : --- Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout --- A nouveau menu Edition / copier --- Dans un nouveau message ici, faire un clic droit / coller -Tuto : [ http://www.malekal.com/DiagHelp/DiagHelp.php ] C)- Que rencontrez-vous encore comme souci avec le PC ? Je passe à table Retour plus tard Al.

C:\WINDOWS\system32\drivers\etc\hosts [Résolu]

Réponse 2 / 44

ep
Modifié le 8 févr. 2008 à 07:47

bonsoir

Télécharger sur le bureau
https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
= Clic-droit sur Hijackthis
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= clic droit sur Hijackthis ( en forme de dynamite) ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
[url=https://forums.cnetfrance.fr]Aide hijackthis[/url]

Réponse 3 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
23 sept. 2007 à 23:01

(suite)

mumu et Ladyshark sont-ce la même personne ??

Si oui, alors cette manipulation est valable.
Si non, alors elle ne s'applique qu'à mumu qui a squatté un topic réservé à Ladyshark.
Ce que je ne supporte pas !! ==> ça crèe la pagaille dans la résolution des soucis.
mumu, si c'est ton cas, déménage ton problème en ouvrant un autre topic à ton nom .

A)- Ton HJT est une ancienne version, et son installation ne permet aucune correction de lignes !
Donc, commence par supprimer les versions de HijackThis installées sur ton PC.
Ensuite :
1)- Avec connexion au Net en service,
Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download > avec un installeur. Sur la page, choisis « Download HijackThis Installer » et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.

2)- Déconnecte-toi du Net pour installer le programme

4)- Installation :
Clic sur « Exécuter », puis sur « Install ».
Accepte la licence en cliquant sur le bouton "I Accept"
Le programme s’installe de lui-même dans un dossier dédié.
Et un raccourci pour lancer l’analyse apparaît sur le bureau.

-Redémarre ton PC impérativement.

•- Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" . Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!

•-Arrête tous les programmes en cours et ferme toutes les fenêtres. Ne garde ouvert que HJT.

•- <Tutorial de BipBip pour l’installation> ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm >

B)- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

O2 - BHO: (no name) - {0860d663-43fd-4607-9309-d351fdf28488} - (no file)
O3 - Toolbar: (no name) - {e6938663-bd5b-4550-a786-c7cb724ed7d8} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked] è (fixer =corriger)

C)- - Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
- À la fin du scan le bloc-notes va s'ouvrir sur le bureau
- tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum

D)- Il faut donc faire analyser ce fichier "drwtsn32.exe " chez VirusTotal comme ceci :

Vas là </souligne>:< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier drwtsn32.exe
c'est-à-dire C:\WINDOWS\system32\
•- quand tu as trouvé le premier fichier drwtsn32.exe , tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier drwtsn32.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )
Merci pour ta collaboration

E)- Désinstalle Avast et AVG7 sauf si tu as payé AVG7 (mais ça m'étonnerait puisque ce n'est pas la dernière version); et tu remplace tout ça par Antivir.

- Pour AVG7, clic sur "démarrer" > "Poste de travail" > disque local C:\ > "Program Files > et supprime le dossier Grisoft
Fais ensuite clic sur "démarrer" > "Panneau de configuration" > "Ajout/suppres. de programmes" et vérifie si Grisoft ou AVG7 est encore présent; si oui, tu le supprimes.

- Pour bien désinstaller Avast: https://www.avast.com/fr-fr/uninstall-utility

- Télécharger Antivir sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp:< https://www.avira.com/en/free-antivirus-windows > qui prend en compte la case Rootkit. - En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] ( cocher la case « mode expert ».
Avec ses tutoriels ici : < http://tutopat.hostonet.org/viewtopic.php?t=2417 > , < http://www.malekal.com/tutorial_antivir.html > , < http://www.libellules.ch/tuto_antivir.php > et < http://manuelsdaide.com/Antivir/Antivir.htm > .
Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.
Attention : Après l'installation du programme, et avant de lancer l'analyse, il faut redémarrer le PC en mode sans échec < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >.
Lancer Antivir en Scan complet ( analyse avancée )
Supprimer tous les fichiers infectés trouvés;
Poster le rapport SVP.

Courage
Al.

Réponse 4 / 44

mumu
23 sept. 2007 à 21:57

voila le rapport
127.0.0.1 localhostLogfile of HijackThis v1.99.1
Scan saved at 21:46:32, on 23/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Documents and Settings\BONNET\Bureau\eMule\emule.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\BONNET\LOCALS~1\Temp\Rar$EX27.593\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0860d663-43fd-4607-9309-d351fdf28488} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: (no name) - {e6938663-bd5b-4550-a786-c7cb724ed7d8} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://angel2908.spaces.live.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 44

Ladyshark Messages postés 95 Date d'inscription dimanche 23 septembre 2007 Statut Membre Dernière intervention 2 novembre 2018 7
23 sept. 2007 à 23:53

Petite précision...

En fait Ladyshark c moi, celle qui a voulu dépanner mais qui n'a rien trouvé de concret

Mumu est l'amie en question qui a les problèmes sur son P.C...

Voilà, donc, le topic n'a pas été volé, la prochaine fois, on essayera de répondre à partir d'un seul topic...

Concernant Avast, au moment où je lui avais installé AVG en remplacement d'Avast, une partie d'Avast n'a pas voulu se désinstallé, comme le montre HJT... je lui désinstallerais ça, qd je serait chez elle...

Par la même occasion, j'aimerais lui installer un pare-feu qui soit simple (et efficace tant qu'à faire) qui ne rentre pas en conflit avec AVG... Lequel me conseillerriez vous en gratuit ?

Merci

Réponse 6 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
24 sept. 2007 à 00:51

Re,
OK .

Dans l'immédiat, j'aimerais moi que tu puisses faire exécuter les manips que je demande; et que tu puisses émettre des commentaires en réponse à mon post # 4 éventuellement.

Je répète, si AVG n'est pas payant, choisis Antivir.
Pour le pare-feu on verra après la désinfection.

En attendant, vérifie ces réglages de la protection Windows "entrante":
Vas dans "Panneau de configuration" et ouvre le "Centre de sécurité" (icône du bouclier)
Assure-toi tout d'abord que le pare-feu est activé (le bouton est vert dans ce cas!).
Clique sur le menu pare-feu et sélectionne l'onglet "Exceptions".
Si la case "Partage de fichiers et d'imprimantes" est cochée , décoche-la.
Le pare-feu Windows configuré de cette manière évite la surinfection.

Merci
Bonne nuit et à demain
Al.

Réponse 7 / 44

Ladyshark Messages postés 95 Date d'inscription dimanche 23 septembre 2007 Statut Membre Dernière intervention 2 novembre 2018 7
28 sept. 2007 à 19:37

Je suis chez Mumu, en train d'appliquer les manips...

Voilà le rapport d'Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:07:58, on 16/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://angel2908.spaces.live.com//PhotoUpload/MsnPUpld.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 8 / 44

Ladyshark Messages postés 95 Date d'inscription dimanche 23 septembre 2007 Statut Membre Dernière intervention 2 novembre 2018 7
28 sept. 2007 à 23:10

Gros souci !!!

J'ai installé Antivir, le souci c qu'en voulant lancer le scan, un message d'erreur apparait et le scan se ferme avant d'avoir fini !!

Pour Ad-Aware même chose, et pas mal de message d'erreur de dll, un message sécurité Windows qui dit qu'il faut installer un anti-spyware parce que la bécane est infectée, et que sinon Windows va être fermé pour ne pas endommager les fichiers...

Pfff!!!

Réponse 9 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
29 sept. 2007 à 00:38

Bonsoir Ladyshark,

A)- Mais sapristi, que fais-tu avec Antivir ?
Si je te suis bien, tu a désinstallé complètement Avast avec le lien que je t'ai donné.
Ensuite tu as décidé de supprimer également l'Antivirus AVG ??
Pour Antivir, tu as reçu des tutos .
En plus, si tu as des soucis, il faut vérifier ceci :
1- avgnt.exe (= antivirus system tray tool) n'était-il pas bloqué par ton pare-feu ? ==> quel est ton pare-feu ??
Si c'est Windows, désactive-le le temps du scan.
Si c'est un autre, paramètre-le pour accepter avgnt.exe
2- Spybot Search and Destroy, et son Tea-Timer peuvent également titiller Antivir. ==> idem, désactive durant le sacn.
3- Sinon, scan en mode sans échec; et à la fin, sauvegarde le rapport sur le bureau ==> à poster au reboot normal.

B)- Il faut donc faire analyser ce fichier "udgcghi.exe"chez VirusTotal comme ceci :
1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant la ligne:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Vas là </souligne>:< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier zoz.exe
c'est-à-dire via "Poste de travail" C:\WINDOWS\system32\
•- quand tu as trouvé le premier fichier udgcghi.exe , tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier udgcghi.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )
3°- Merci pour ta collaboration

C)- Clique sur ce lien :< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
et enregistre-le sur ton bureau.

Ensuite double clique sur l’icône "Navilog1.exe " pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).

Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Je travaille dans le vide par manque d'information sur les problèmes que tu rencontres avec ce PC.
Et je redis: je ne souhaite pas être distrait avec des manips intermédiaires qui risque de me cacher des indices, voire le vrai résultat de ce que je demande.

Merci
Bonne nuit à vous deux
Al.

Réponse 10 / 44

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 sept. 2007 à 21:30

bonsoir,

J'ai ouvert avec le bloc note, le fichier en question et elle n'a que 127.0.0.1 localhost, ce qui, à priori est plutôt bon signe...

non pas du tout, au contraire, le mien en a une tripotée. C'est ce qui correspond à ton fichier HOST en l'occurence toi tu n'en as pas de spécifique. Tu n'as que le basique

tu peux regarder ici
http://pageperso.aol.fr/loraline60/logiciels_securite.htm

à fichier host, tu auras plus de renseignements concernant le host

Réponse 11 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
23 sept. 2007 à 22:26

Bonsoir TLM
Bonsoir Ladyshark

Pas de souci pour ton fichier HOSTS quant à son contenu;
regarde ce que j'ai < http://img513.imageshack.us/img513/8311/screenshot041lt2.png >.

Par contre:
•- le rapport HJT indiquerait ceci : " 127.0.0.1 localhostLogfile of HijackThis v1.99.1 "
Est-ce bien le rapport affiché de HJt qui donne cette ligne ?
•- tu cites ceci : « un scan avec AVG Free Edition, il lui donne ceci : change C:\WINDOWS\system32\drivers\etc\hosts »
Pourrais-tu poster le rapport complert de cette analyse AVG Free Edition ?
Cela aiderait les helpers.

Merci pour eux
Al.

Réponse 12 / 44

Ladyshark Messages postés 95 Date d'inscription dimanche 23 septembre 2007 Statut Membre Dernière intervention 2 novembre 2018 7
28 sept. 2007 à 23:12

Rapport de ComboFix :

ComboFix 07-09-21.2 - "Bibi" 2007-09-28 23:07:39.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.111 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mjkuguehpz.dat
C:\WINDOWS\system32\mjkuguehpz.exe
C:\WINDOWS\system32\mjkuguehpz_nav.dat
C:\WINDOWS\system32\mjkuguehpz_navps.dat

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-28 to 2007-09-28 ))))))))))))))))))))))))))))))))))))
.

2007-09-28 23:07 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-28 19:05 <REP> d-------- C:\Program Files\Trend Micro
2007-09-21 23:56 <REP> d-------- C:\DOCUME~1\BONNET\APPLIC~1\Google
2007-09-05 19:29 <REP> d-------- C:\Program Files\DynGate
2007-09-05 19:29 <REP> d-------- C:\DOCUME~1\BONNET\temp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-28 22:46 --------- d-------- C:\Program Files\Ad-Aware SE Personal
2007-09-26 20:06 --------- d-------- C:\Program Files\HomePlayer1.5.0.2
2007-09-23 20:44 --------- d-------- C:\Program Files\CCleaner
2007-09-23 17:02 --------- d-------- C:\Program Files\MSN Messenger
2007-09-23 17:02 --------- d-------- C:\Program Files\Messenger Plus! Live
2007-09-09 21:34 --------- d-------- C:\DOCUME~1\BONNET\APPLIC~1\LimeWire
2007-08-23 14:43 --------- d-------- C:\Program Files\OpenOffice.org1.1.0
2007-08-16 16:16 --------- d-------- C:\DOCUME~1\BONNET\APPLIC~1\Real
2007-08-16 16:09 --------- d-------- C:\Program Files\Fichiers communs\xing shared
2007-08-16 16:09 --------- d-------- C:\Program Files\Fichiers communs\Real
2007-08-16 16:08 --------- d-------- C:\Program Files\Real
2007-08-06 21:36 --------- d-------- C:\Program Files\Windows Live Toolbar
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-06-29 21:08 276992 --a------ C:\WINDOWS\system32\udgcghi.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 15:01]
"LaunchApp"="Alaunch" []
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 18:48 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 20:04 C:\WINDOWS\SkyTel.exe]
"ntiMUI"="c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 17:15]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 22:00]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-08-16 16:08]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 22:00]
"msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"Spybot - Search & Destroy"="C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-03-02 21:01:28]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Acer Empowering Technology.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Acer Empowering Technology.lnk
backup=C:\WINDOWS\pss\Acer Empowering Technology.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Acer WLAN 11g USB Dongle.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Acer WLAN 11g USB Dongle.lnk
backup=C:\WINDOWS\pss\Acer WLAN 11g USB Dongle.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^BONNET^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 1.1.0.lnk]
path=C:\Documents and Settings\BONNET\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 1.1.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 1.1.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]
C:\Acer\WR_PopUp\WarReg_PopUp.exe /normal-run1

R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys
R3 int15.sys;int15.sys;\??\C:\Acer\Empowering Technology\eRecovery\int15.sys
R3 ovt530;Webcam Classic;C:\WINDOWS\system32\Drivers\ov530vid.sys
S3 psdfilter;psdfilter;\??\C:\WINDOWS\system32\Drivers\psdfilter.sys
S3 psdvdisk;psdvdisk;\??\C:\WINDOWS\system32\Drivers\psdvdisk.sys
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-28 23:09:16
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-28 23:09:46
C:\ComboFix-quarantined-files.txt ... 2007-09-28 23:09
.
--- E O F ---

Réponse 13 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
18 nov. 2007 à 19:17

Bonsoir cristofe2

De quoi parles-tu ?
Poste le rapport AVG
Quel est ton pare-feu ?

Fais ensuite ceci, SVP:
Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Toujours télécharger avant l'utilisation pour profiter des dernières mises à jour.

Utilisation:

1- Recherche:

Clic sur le lien ci-dessus, puis [exécuter]; ensuite une seconde fois sur "Exécuter" -patienter- ( à ce moment, un dossier SmitfraudFix s’affiche sur le bureau ) ==> suivre instructions de la page bleue qui vient de s’ouvrir .
Sélectionner 1(taper 1) et pressez [Entrée] dans le menu (pour créer un rapport des fichiers responsables de l'infection.)
Dans ta prochaine réponse, fais un copier/coller du rapport qui s'ouvre.
Renomme-le « Rapport1.txt », c’est très important pour la suite.
Le rapport se trouve à la racine du disque système C:\rapport1.txt
Poste-le

Je lis ceci: C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
À mettre à jour comme ceci:
Télécharger Adobe Reader 8.1 pour Windows ( http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.1/fra/AdbeRdr810_fr_FR.exe ) (lien direct)
Décoche Téléchargez également : Adobe Photoshop® Album Édition
Dans Ajout/Suppression des programmes, supprime toutes les autres versions.
( ou alors ici : version 8.1 https://get2.adobe.com/reader/otherversions/ )
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.

Bonne chance
Al.

Réponse 14 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 nov. 2007 à 19:36

Re,

Je ne sais pas ce que ça veut dire ; d'autant moins que cette analyse vient d'être réalisée;
c'est-à-dire ultérieurement à la correction du fichier HOSTS par HostsXpert.
Je te suggère de poser la question chez AVG.

Vide le contenu de la poubelle RECYCLER, qui contient le vidage des outils inutiles par CleanUp! .

Je ne vois pas le log DiagHelp. ==> Poste-le en entier sur le topic, de telle sorte que les helpers puissent le consulter encore plus tard.

Merci
Al.

Réponse 15 / 44

Ladyshark Messages postés 95 Date d'inscription dimanche 23 septembre 2007 Statut Membre Dernière intervention 2 novembre 2018 7
29 sept. 2007 à 01:07

re

Alors Virustotal a trouvé d'autres choses, voici le rapport :

Fichier udgcghi.exe reçu le 2007.09.29 01:00:50 (CET)
Situation actuelle: Terminé
Résultat: 5/32 (15.63%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 ADSPY/NaviPromo.LH.4
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 -
AVG 7.5.0.488 2007.09.28 -
BitDefender 7.2 2007.09.29 -
CAT-QuickHeal 9.00 2007.09.28 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.28 -
DrWeb 4.33 2007.09.28 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.28 -
FileAdvisor 1 2007.09.29 -
Fortinet 3.11.0.0 2007.09.28 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.28 -
Ikarus T3.1.1.12 2007.09.28 -
Kaspersky 7.0.0.125 2007.09.29 -
McAfee 5130 2007.09.28 -
Microsoft 1.2803 2007.09.29 -
NOD32v2 2558 2007.09.28 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.28 -
Prevx1 V2 2007.09.29 Heuristic: Suspicious Self Modifying File
Rising 19.42.42.00 2007.09.28 -
Sophos 4.21.0 2007.09.28 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.28 Trojan.Skintrim
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.29 -
VirusBuster 4.3.26:9 2007.09.28 -
Webwasher-Gateway 6.0.1 2007.09.28 Ad-Spyware.NaviPromo.LH.4
Information additionnelle
File size: 276992 bytes
MD5: bfe06e6bfdaf55e6f3f0cdf0eb68c1f7
SHA1: 2752bd02155d4b688a1ef2ec612a7df19374083a
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=312BD52A00F6C9FA3ACB04F742E6B200A164F21C

Au passage, j'ai désinstaller antivir et remis AVG, qui fonctionne et scanne normalement

J'ai relancer un scan avec Spybot et Ad-Aware, qui ont aboutis cette fois, car jusqu'à présent j'avais un message d'erreur m'arrêtant aussi bien le scan de spy que celui ad-aware...

Je viens de mettre AVG anti-rootkit- aussi qui ne m'a rien détecté... Par contre, Antivir me trouvait 7 hidden objets, mais ne pouvait jamais terminé son scan.

Concernant le pare-feu, c celui de Windows pour l'instant, et il n'y a jamais eu de résident surspybot (je n'ai jamais mis tea-timer en résident)...

Je perds patience !!!!!!!!!

Aide-moi !

Réponse 16 / 44

Ladyshark Messages postés 95 Date d'inscription dimanche 23 septembre 2007 Statut Membre Dernière intervention 2 novembre 2018 7
29 sept. 2007 à 01:49

Rapport de navilog :

Search Navipromo version 3.1.2 commencé le 29/09/2007 à 1:36:44,04

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 27.09.2007 a 18h00 by IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Bibi\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/29/07 at 01:36:45.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/29/07 at 01:42:47 (return code = 0).

*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\Documents and Settings\Bibi\local settings\application data *

*** Recherche fichiers ***

*** Recherche cles registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\czbcij.exe trouvé !
C:\WINDOWS\system32\ndcgnhc.exe trouvé !

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 29/09/2007 à 1:43:15,29 ***

Réponse 17 / 44

Ladyshark Messages postés 95 Date d'inscription dimanche 23 septembre 2007 Statut Membre Dernière intervention 2 novembre 2018 7
29 sept. 2007 à 02:07

Bon voilà pour ce soir :

Désolée pour le manque d'informations, mais il est vrai que je suis un peu perdue moi aussi, et du coup, j'ai du mal à te renseigner comme il faut...

Donc, pour récapituler :

Config : Windows XP
Ram 512
Antivirus : AVG Free edition
Anti-rootkit : AVG anti-rootkit
Anti-spy : Ad-aware
Spybot (pas de résident actif tea timer ou SD helper)

Ccleaner

Pare-feu : Windows (actif pour le moment)

Pour le moment, les scans (anti- virus, rootkit, spyware) fonctionnent, et donc plus de messages d'erreur à ce sujet.
Plus de messages non plus concernant les DLL
Et AVG ne détecte plus C:\WINDOWS\system32\drivers\etc\hosts comme posant un problème
Au reboot de la bécane, il y a le bip court du démarrage (qui est normal) suivit peu de tps après par 2 bips courts... ???

Voilà, je t'ai posté pas mal des rapports que tu m'as demandé... Si besoin, contacte-moi...

Merci encore pour ton aide, bonne nuit, à bientôt

Lady

Réponse 18 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
29 sept. 2007 à 10:44

Bonjour

Enfin une bonne synthèse de ton PC ( mis à part le fait que tu perdes patience ) ;)

Merci pour les rapports des analyses que moi je demande .

Dans l'immédiat, il faut donc :

1°- Supprimer ce fichier en gras en C:\WINDOWS\system32\udgcghi.exe <== le fichier !

2°- Du post # 7, as-tu appliqué ce que je recommandais ?; à savoir : « En attendant, vérifie ces réglages de la protection Windows "entrante":
Vas dans "Panneau de configuration" et ouvre le "Centre de sécurité" (icône du bouclier)
Assure-toi tout d'abord que le pare-feu est activé (le bouton est vert dans ce cas!).
Clique sur le menu pare-feu et sélectionne l'onglet "Exceptions".
Si la case "Partage de fichiers et d'imprimantes" est cochée , décoche-la.
Le pare-feu Windows configuré de cette manière évite la surinfection. »
Mais cela ne contrôle pas les contaminations qui pourraient sortir de ton PC.

3°- Relance Navilog1 comme ceci :
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 3 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

Merci
Al.

Réponse 19 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
29 sept. 2007 à 22:13

(suite)

Reçu ce MP de Ladyshark samedi 29 septembre 2007 à 02h08:43:

« A la limite, ne pourrait-on pas s'échanger nos adresses msn ? Se serait peut-être plus pratique, non ? »

Ma réponse (pour l'essentiel):

« Bonjour Ladyshark
Désolé, ce n'est pas réalisable.
Pour cette raison majeure que je milite pour le partage des connaissances et la recherche en équipe.

Donc, la MP -si elle a des avantages incontestables- ne permet pas aux lecteurs de se faire une parfaite idée de la résolution des problèmes évoqués ou traités. Elle ne permet pas non plus à d'autres helpers d'apporter leur soutien ou des corrections éventuelles au traitement du problème en cours.

Il serait temps que tu appliques ce que je demande au post # 16.
Plus tu attends ( + tu traînes ), et plus l'infection risque de se propager.
Une seule méthode de travail : faire, le faire bien et dans l'ordre demandé, ne rien faire d'autre. Patienter.

Courage
Al. »

Réponse 20 / 44

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
30 sept. 2007 à 11:00

Bonjour à vous deux,

RAPPEL:
Il serait temps que tu appliques ce que je demande au post # 16.
Plus tu attends ( + tu traînes ), et plus l'infection risque de se propager.

Cependant, et s'il est encore temps, je voudrais profiter de ce contretemps pour faire une vérification, s'il te plaît bien:
- Lors de la recherche pour suppression de C:\WINDOWS\system32\udgcghi.exe <== le fichier,
- au lieu de faire clic-droit > supprimer,
- je voudrais que tu testes "DOUBLE-CLIC GAUCHE" ( uniquement, et rien d'autre ), et me dire si à ce moment le fichier s'est effacé.
Merci pour ta collaboration.

Bon dimanche
Al.

PS: Pas le temps ?? ==> virus msn n039 jpg zip spywares help svp#0
No problem.

C:\WINDOWS\system32\drivers\etc\hosts

44 réponses

Discussions similaires

Newsletters