Win32:Agent-LWP récalcitrant... Résolu

Question

Bonsoir,

J'ai des soucis pour débarrasser mon PC de Win32:Agent-LWP...

J'ai fais une série de nettoyages (AVG, Clean, CCleaner) comme conseillés sur les pages que j'ai trouvées sur le sujet, mais il semblerait qu'il faille un regard d'expert...

S'il vous plait, aidez-moi !

did71 · Answer

Bonsoir,

télécharge HijackThis:

http://pchelpbordeaux.free.fr/logiciels.html

Tutorial:

http://pchelpbordeaux.free.fr/tuto.html

Démo en image:

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Fais un scan et poste l'analyse.

a+

Maïo · Answer

Bonsoir et merci de me venir en aide !

J'avais prévu le Hijackthis, voilà :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:44:08, on 07/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\LBTWiz.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\ooVoo\ooVoo.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
G:\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [VF0070 STISvc] RunDLL32.exe V0070Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LBTWiz.exe] C:\WINDOWS\LBTWiz.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\ooVoo.exe /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?f01c396d45e64668b8faf3921976bb1a
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?f01c396d45e64668b8faf3921976bb1a
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

did71 · Answer

re,

as tu encore le rapport AVG sous la main et celui de clean pour vérification??

a+

Maïo · Answer

Euh, oui AVG et SDFix.
Je ne sais plus quoi, peut-être AVG m'a dit être incapable de destroyer le Win32 et Adware a buggé...
Désolée pour le retard, je ne parvenais plus à afficher les pages du site : dû redémarrer.
Merci !

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	21:01:36 05/10/2007

 + Résultat de l'analyse:	



D:\Documents and Settings\aurélien\Local Settings\Temp\USDR6V_0001_D18M3107\installer.exe -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Aurelien\Bureau\SDFix\backups\backups.zip/backups/carlton -> Dialer.Agent.x : Nettoyé et sauvegardé (mise en quarantaine).
C:\RECYCLER\S-1-5-21-1177238915-515967899-1801674531-1004\Dc2.exe -> Dialer.Agent.x : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0DD866B7-0E07-423A-9A13-BEFE9F12359D}\RP12\A0000465.exe -> Dialer.Agent.x : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0DD866B7-0E07-423A-9A13-BEFE9F12359D}\RP13\A0000532.exe -> Dialer.Agent.x : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0DD866B7-0E07-423A-9A13-BEFE9F12359D}\RP13\A0001535.exe -> Dialer.Agent.x : Nettoyé et sauvegardé (mise en quarantaine).
C:\k3d3t4t8n7l8.exe -> Dialer.Agent.x : Nettoyé et sauvegardé (mise en quarantaine).
C:\m1t4z1h1l7q5.exe -> Dialer.Agent.x : Nettoyé et sauvegardé (mise en quarantaine).
C:\w3v6r2r2h3z5.exe -> Dialer.Agent.x : Nettoyé et sauvegardé (mise en quarantaine).
D:\WINDOWS\Downloaded Program Files\USDR6V_0001_D18M3107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Aurelien\Cookies\aurelien@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@karavel.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@microsoftwlmessengermkt.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@msnaccountservices.112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@msnportal.112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@msnportalintlbeetoffice2007.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@opodo.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@paypal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@sfr.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@snapfish.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@msnaccountservices.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@4.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@www.adobe[2].txt -> TrackingCookie.Adobe : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@www.adobe[1].txt -> TrackingCookie.Adobe : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@adrevolver[2].txt -> TrackingCookie.Adrevolver : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@media.adrevolver[1].txt -> TrackingCookie.Adrevolver : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@adviva[1].txt -> TrackingCookie.Adviva : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@adviva[3].txt -> TrackingCookie.Adviva : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
D:\Documents and Settings\LocalService\Cookies\system@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
D:\Documents and Settings\aurélien\Local Settings\Temp\Cookies\aurélien@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@cz7.clickzs[2].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@cz7.clickzs[3].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@stat.dealtime[1].txt -> TrackingCookie.Dealtime : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@estat[2].txt -> TrackingCookie.Estat : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@c.goclick[2].txt -> TrackingCookie.Goclick : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@ehg-camcorderinfo.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@ehg-neuftelecom.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@ehg-psychologies.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@ehg-techtarget.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@ehg-youtube.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@phg.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@ehg-logantod.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
D:\Documents and Settings\aurélien\Cookies\aurélien@searchportal.information[1].txt -> TrackingCookie.Information : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@search.live[2].txt -> TrackingCookie.Live : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@server.iad.liveperson[2].txt -> TrackingCookie.Liveperson : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@vad.mainentrypoint[1].txt -> TrackingCookie.Mainentrypoint : Nettoyé.
C:\Documents and Settings\Aurelien\Cookies\aurelien@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.

et SDFix :

SDFix: Version 1.107

Run by Aurelien on 05/10/2007 at 19:28

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Aurelien\Bureau\SDFix

Safe Mode:
Checking Services: 


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files: 

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp

Dummy:
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32	ftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache	ftp.exe 

Files copied to SDFix\Backups 

Restoring files if backups are found
 
Final Check:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32	ftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache	ftp.exe 

Dummy:
 

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\Program Files\Fichiers communs\Carlson\carlton  - Deleted
C:\WINDOWS\N039_jpg.zip  - Deleted
C:\WINDOWS\Nokia_19_jpg.zip  - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp  - Deleted
C:\WINDOWS\system32\Microsoft\backup.tftp  - Deleted
C:\WINDOWS\usnsvc.exe  - Deleted


Folder C:\Program Files\Fichiers communs\Carlson - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------

did71 · Answer

re,

rends toi ici:

https://www.virustotal.com/gui/

et fais analyser :

C:\WINDOWS\LBTWiz.exe
C:\WINDOWS\system32\V0070Pin.dll
C:\WINDOWS\system\V0070Pin.dll

poste les rapports virus total!

a+

Maïo · Answer

Pour C:\WINDOWS\system32\V0070Pin.dll : 0/32... voulez-vous la liste ?
LBTWiz.exe est en cours
mais je n'ai pas de C:\WINDOWS\system\V0070Pin.dll

did71 · Answer

re,

donne tout ce qu'il trouve!

a+

Maïo · Answer

LBTWiz.exe est beaucoup plus croustillant :

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2007.10.6.0	2007.10.05	-
AntiVir	7.6.0.20	2007.10.05	HEUR/Crypted
Authentium	4.93.8	2007.10.05	-
Avast	4.7.1051.0	2007.10.06	-
AVG	7.5.0.488	2007.10.07	IRC/BackDoor.SdBot3.TJA
BitDefender	7.2	2007.10.07	Backdoor.Sdbot.DEXW
CAT-QuickHeal	9.00	2007.10.06	Backdoor.SdBot.gen
ClamAV	0.91.2	2007.10.07	-
DrWeb	4.44.0.09170	2007.10.07	-
eSafe	7.0.15.0	2007.10.07	Win32.Spybot
eTrust-Vet	31.2.5190	2007.10.06	-
Ewido	4.0	2007.10.07	-
FileAdvisor	1	2007.10.07	-
Fortinet	3.11.0.0	2007.10.07	W32/SDBot.BZY!tr.bdr
F-Prot	4.3.2.48	2007.10.06	-
F-Secure	6.70.13030.0	2007.10.06	Backdoor.Win32.SdBot.bzy
Ikarus	T3.1.1.12	2007.10.07	Generic.Sdbot
Kaspersky	7.0.0.125	2007.10.07	Backdoor.Win32.SdBot.bzy
McAfee	5135	2007.10.05	-
Microsoft	1.2908	2007.10.07	-
NOD32v2	2576	2007.10.07	-
Norman	5.80.02	2007.10.05	SDBot.gen9
Panda	9.0.0.4	2007.10.07	-
Prevx1	V2	2007.10.07	Worm.Ircbot.Gen
Rising	19.43.60.00	2007.10.07	-
Sophos	4.22.0	2007.10.07	W32/Sdbot-DHY
Sunbelt	2.2.907.0	2007.10.06	VIPRE.Suspicious
Symantec	10	2007.10.07	W32.Spybot.Worm
TheHacker	6.2.6.079	2007.10.07	Backdoor/SdBot.bzy
VBA32	3.12.2.4	2007.10.07	-
VirusBuster	4.3.26:9	2007.10.07	-
Webwasher-Gateway	6.0.1	2007.10.05	Heuristic.Crypted
Information additionnelle
File size: 561152 bytes
MD5: 7837d88c3534b2b9b202169a654363c0
SHA1: 8bd761df8d4dc5c71796db77f84dcbdffda51f0d
packers: Themida
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=050CA79C006C1EFE909E08E4C7EEB900DDF8195A
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

did71 · Answer

re,

1) relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :

O4 - HKLM\..\Run: [VF0070 STISvc] RunDLL32.exe V0070Pin.dll,RunDLL32EP 513 
O4 - HKLM\..\Run: [LBTWiz.exe] C:\WINDOWS\LBTWiz.exe

2) recherche et supprime le fichier en gras ci dessous:

C:\WINDOWS\LBTWiz.exe

3) Télécharge Catchme de Gmer : http://www2.gmer.net/catchme.php sur le bureau

Double clique sur le fichier catchme.exe pour le lancer, il ne nécessite pas d'installation.
Une fenêtre DOS va s'ouvrir, laisse travailler le scan qui dure quelques instants.
Quand tu vois scan completed successfully tu fermes la fenêtre!
Un rapport catchme.log sera créé, poste-le pour analyse des résultats.

a+

Maïo · Answer

Voui-voui, alors voilà c'est fait :

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\hbbveysmnh.dat 8192 bytes
C:\WINDOWS\system32\hbbveysmnh.exe 278528 bytes
C:\WINDOWS\system32\hbbveysmnh_nav.dat 319488 bytes
C:\WINDOWS\system32\hbbveysmnh_navps.dat 328 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4

L'est guéri ???

did71 · Answer

non, 

pas encore mais on a bien trouvé une autre bébéte!

Télécharge navilog1 (Merci il.mafioso!)

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Ensuite double clique sur navilog1.exe pour lancer l'installation.

* Une fois l'installation terminée, le fix s'exécutera automatiquement.

* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

* Laisse-toi guider. Au menu principal, choisis 1 et valides.

/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

* Patiente jusqu'au message : *** Analyse terminée le ..... ***

* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

a+

Maïo · Answer

Dommage que vous ayez l'air pressé, j'aurais bien aimé comprendre. Mais d'autres naufragés du PC ont besoin de votre secours, ange du web :-)
En attendant, j'obéis :

Search Navipromo version 3.2.1 commencé le 07/10/2007 à 21:56:57,95

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 03.10.2007 a 20h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Aurelien\Application Data ***


*** Recherche dossiers dans  ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

!! Fichier/processus caché(s) différent !!
!! Résultat Catchme non pris en compte par Navilog1 !!


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers trouvés :

gtuvhr.exe trouvé ! 
hbbveysmnh.exe trouvé ! 
itzpgjbhrw.exe trouvé ! 
ozamwfdo.exe trouvé ! 
xdrtvyt.exe trouvé ! 

* Scan  *

gnc.exe absent, Scan non effectué dans  !


*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\hbbveysmnh.dat trouvé !


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 07/10/2007 à 21:57:51,12 ***

did71 · Answer

re,

je ne suis pas si préssé que ça tout de même!

* Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

* Au menu principal, choisis 2 et valide.

* Le fix va t'informer qu'il va alors redémarrer ton PC

* Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

* Appuie sur une touche comme demandé. (si ton Pc ne redémarre pas automatiquement, fais le toi même)

* Au redémarrage de ton PC, choisis ta session habituelle.

* Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

* Le Bloc-notes va s'ouvrir.

* Sauvegarde le rapport de manière à le retrouver.

* Referme le Bloc-Notes. Ton bureau va réapparaître.

* Note : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

* Rends-toi à l'onglet "Processus", clique en haut à gauche sur > Fichiers et choisis > Exécuter

* Tape explorer et valide. Celà te fera apparaître ton Bureau.

* Tu posteras le rapport de Navilog1 et un nouveau rapportHijackThis. 

a+

Maïo · Answer

Même pas pressé, je crains qu'il ne soit très long de m'expliquer comment vous avez trouvé quoi faire. J'ai beau être "informaticienne" (pour moi il faut des guillemets), il doit me manquer quelques bases...

Bref, voici les 2 rapports :

Clean Navipromo version 3.2.1 commencé le 07/10/2007 à 22:12:35,68

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 03.10.2007 a 20h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec Backups résultats GenericNaviSearch ***

* Scan C:\WINDOWS\system32 *

gtuvhr.exe trouvé !
Copie gtuvhr.exe réalise avec succès !
gtuvhr.exe supprimé !

hbbveysmnh.exe trouvé !
Copie hbbveysmnh.exe réalise avec succès !
hbbveysmnh.exe supprimé !

hbbveysmnh.dat trouvé !
Copie hbbveysmnh.dat réalise avec succès !
hbbveysmnh.dat supprimé !

hbbveysmnh_nav.dat trouvé !
Copie hbbveysmnh_nav.dat réalise avec succès !
hbbveysmnh_nav.dat supprimé !

hbbveysmnh_navps.dat trouvé !
Copie hbbveysmnh_navps.dat réalise avec succès !
hbbveysmnh_navps.dat supprimé !

itzpgjbhrw.exe trouvé !
Copie itzpgjbhrw.exe réalise avec succès !
itzpgjbhrw.exe supprimé !

ozamwfdo.exe trouvé !
Copie ozamwfdo.exe réalise avec succès !
ozamwfdo.exe supprimé !

xdrtvyt.exe trouvé !
Copie xdrtvyt.exe réalise avec succès !
xdrtvyt.exe supprimé !


* Scan  *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Aurelien\Application Data ***


*** Suppression dossiers dans  ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Aurelien\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok


*** Certificats ***

Certificat Egroup absent !


*** Nettoyage termine le 07/10/2007 à 22:18:09,51 ***

===========================================================

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:20:53, on 07/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ooVoo\ooVoo.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\Messenger\msmsgs.exe
G:\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\ooVoo.exe /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?f01c396d45e64668b8faf3921976bb1a
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?f01c396d45e64668b8faf3921976bb1a
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

did71 · Answer

re,

ok, navilog a bien supprimé le reste!

Comment se comporte le pc??

a+

Maïo · Answer

Lol... il se tient plutôt bien !

Je ne suis même pas fichue de dire si le problème a bien disparu, je vous fais confiance !

et clique "résolu", donc ? Je ne sais pas quoi dire dans le récapitulatif, vu que je ne sais pas ce qu'étais la petite bébête numéro 2...

Merci beaucoup pour votre aide, je me battais depuis vendredi soir... la semaine va mieux démarrer grace à vous !

did71 · Answer

re,

non, pour vérification, on va attendre de savoir si tout est propre!

Passe un scan en ligne ici:

http://www.bitdefender.fr/scan_fr/scan8/ie.html

poste le rapport ensuite!

Faudra revoir le programme des informaticiennes,lol!

a+

Maïo · Answer

Je ne peux pas :-(
Le PC malade n'a pas internet...
et j'ai essayé de mettre la version d'essai de Bitdefender, mais il manque une mise à jour windows pour l'ouvrir et i can't update...

faudrait surtout que les informaticiennes soient des formées ailleurs que sur le tas  ;-)

Je fais quoi, Did ?

did71 · Answer

re,

on va regarder autrement!

Télécharge clean.zip 

http://www.malekal.com/download/clean.zip 

Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
Ouvre le dossier Clean qui se trouve sur ton bureau. 
Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître, choisis l'option 1. 

Poste le rapport qui se trouve ici C:\rapport_clean.txt 

a+

Umbre_T · Answer

Bonjour, 

même problème du coup je passe voir si une ame charitéble pourrais pas me filer un coup de mains. (ça fait pas trop fayot ça va ? ;-) )

mon pitit rapport hijachthis :

Logfile of HijackThis v1.99.1
Scan saved at 22:45:47, on 07/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mrt.exe
C:\WINDOWS\explorer.exe
C:\Manu\internet protection\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: MSVPS System - {88418AA3-16F5-4FC2-A9D8-90B1266DF841} - C:\WINDOWS
sduo.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [\Maison\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\Manu\LOCALS~1\Temp\E_S35.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S92.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: sysdx - {ACB599F0-E3F4-43CE-94E6-44F90A41BBF1} - (no file)
O21 - SSODL: msmdev - {1B4E44DF-DDAA-4C8A-832A-A0ACB5F4BA52} - C:\WINDOWS\msmdev.dll (file missing)
O21 - SSODL: msmhost - {70954D15-9117-41FD-B857-20421D7028CF} - C:\WINDOWS\msmhost.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

c'est grave docteur ?

Maïo · Answer

Voilà :

07/10/2007 a 22:54:51,43 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport ! 

C'est mignon, non ?

did71 · Answer

re, 

oui, c'est tout bon!

Bon voici les recommendations pour sécuriser le pc:

https://forum.pcastuces.com/default.asp


ET AUSSI ceci à faire!

Dénonce ton infection pour faire condamner les auteurs.


Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = NAVIPROMO

---> https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)


Indique aussi le nom du Forum qui t'a aidé, CommentCaMarche!


a+

Pour les question subsidiaires, c'est en MP!

Umbre_T · Answer

par contre mon indésirable a moi c'est Win32:Agent-LTS [Trj]

dsl de passer sur ta discution Maïo :-/ mais comme did71 a l'air de s'y connaitre j'en profite ^^

did71 · Answer

Umbre_T,

ouvre une nouvelle discussion sur le forum et on viendra t'aider!

a+

Umbre_T · Answer

ça marche, a toute ^^

Maïo · Answer

Je veux bien, au contraire.
Mais je dénonce Win32:Agent-LWP et ? N'était-il pas accompagné ?
(p'têt pas la peine de passer en MP pour ça ?)

Umbre, j'ai cru comprendre que c'était pas comme ça que ça marchait : il faut que tu créés une nouvelle discussion...

did71 · Answer

re,

Maïo, non, c'est NAVIPROMO!

le reste, c'était une broutille!

a+

Maïo · Answer

Ah bon ??? Lol, comme quoi j'avais vraiment rien suivi...

Heureusement que j'arrive juste à appliquer les consignes. Mais j'ai à peine vu son p'tit non ? Et c'est la même chose ou Win32:Agent-LWP est un autre truc ?

Heureusement que t'es là...

did71 · Answer

re,

non, ce n'est pas la même chose!

Navipromo est très présent! un scan antirootkit avec catchme, a permis de mettre la main dessus et ensuite le tuer avec navilog!

a+

Maïo · Answer

C'est fou !

Sauf que Navipromo n'avait pas manifesté de troubles particuliers ?
Moi j'avais rien vu...
C'est Win32:Agent-LWP qui faisait sortir les sirènes d'Avast. Qu'est-il devenu ?

did71 · Answer

re,

là ça vient dans les MP!

a+

Win32:Agent-LWP récalcitrant...

31 réponses

Votre réponse

Discussions similaires

Newsletters