Log hijackthis suite messenger skinner Résolu/Fermé

Question

Bonjour, 
Comme beaucoup, je me suis fait avoir par messenger skinner... Et maintenant, c''est le brin sur mon pc...

Ci-dessous le log de Hijackthis, en attendant votre solution, miracle...

Logfile of HijackThis v1.99.1
Scan saved at 17:51:40, on 13/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\Eset
od32kui.exe
D:\programme secondaire\Winamp\winampa.exe
C:\WINDOWS\Mixer.exe
D:\programme secondaire\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\ctfmon.exe
D:	elechargement\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WinampAgent] D:\programme secondaire\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme secondaire\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [etcspfogbl] c:\windows\system32\etcspfogbl.exe etcspfogbl
O4 - HKCU\..\Run: [yamnqw] c:\windows\system32\yamnqw.exe yamnqw
O4 - HKCU\..\Run: [eexjmprr] c:\windows\system32\eexjmprr.exe eexjmprr
O4 - HKCU\..\Run: [ncytuqy] c:\windows\system32
cytuqy.exe ncytuqy
O4 - Startup: Lancement Winamp.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Offices\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?6de4465e17b54e66b2e2402d13d07b5e
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?6de4465e17b54e66b2e2402d13d07b5e
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

merci d'avance !!!!

Kevindu36 · Answer

Bonjour

Télécharge sur le bureau navilog1
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
La console noire de Navilog1 doit s'être ouverte après l'installation.
Sinon, pour l'ouvrir, double-cliquez sur le raccourci "navilog1" sur votre bureau.
Appuyez sur la lettre f de votre clavier puis sur la touche Entrée.
Appuyez sur une touche de votre clavier pour continuer...
Tapez 1, puis appuyez sur la touche Entrée de votre clavier.
Ainsi Navilog1 va effectuer la recherche des fichiers infectieux sur votre PC : NE PAS UTILISER L'OPTION 2 SANS AVIS
soyez patient, cela peut prendre une dizaine de minutes...
Navilog1 vous informe que la recherche est terminée :
Appuyez sur une touche de votre clavier pour afficher le rapport qu'il a généré.
Le rapport sera  sauvegardé dans le fichier suivant : "fixnavi.txt" à la racine 
de votre disque dur (ex : C:\fixnavi.txt).Poster le rapport generer

++

FABTOUR · Answer

B'jour,

ci-dessous le rapport générer...
Search Navipromo version 3.2.1 commencé le 14/10/2007 à 10:34:18,23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Fabrice\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\eexjmprr.dat
C:\WINDOWS\system32\eexjmprr.exe
C:\WINDOWS\system32\eexjmprr_nav.dat
C:\WINDOWS\system32\eexjmprr_navps.dat

Processus caché(s) :

C:\WINDOWS\system32\eexjmprr.exe 


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers trouvés :

eexjmprr.exe trouvé ! 
gdxcibiq.exe trouvé ! 
klniucjxw.exe trouvé ! 
ncytuqy.exe trouvé ! 
pejsabu.exe trouvé ! 
zwwvvezt.exe trouvé ! 

* Scan C:\DOCUME~1\Fabrice\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\eexjmprr.dat trouvé !
C:\WINDOWS\system32\oevymagx.dat trouvé !


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 14/10/2007 à 10:35:11,49 ***


Merci pour la suite...

FABTOUR · Answer

re...

Bon, la maintenant nod32 s'est décllenché, plein de messages d'alertes....
Surtout, il à decelé quelque chose dans c:\programmefiles
avilog1\process.exe.
J'ai répondu de "laisser", mais j'sais pas trop si j'ai bien fait....
T's là kevindu36 ???

Kevindu36 · Answer

Bonjour

 Redemarre en mode sans echec
 Double-Clique sur navilog1 qui est sur le bureau
Pour lancer le nettoyage automatique, tapez 2, puis appuyez sur la touche Entrée de votre clavier.
Remarque: le bureau disparaît
Laissez Navilog1 travailler et soyez patient !
Quand vous serez prêt à redémarrer le PC, appuyez sur une touche de votre clavier et laissez Navilog1 opérer.
Une fois votre PC redémarré, Navilog1 terminera la désinfection et il vous fournira un rapport de désinfection.
Poster ce rapport sur le forums
(Si votre Bureau ne réapparaît pas, faite ceci :
-> Clique simultanément sur Ctrl + Alt + Suppr.
Cliquez sur l'onglet Fichier puis choisis Nouvelle tâche.
Tapez Explorer puis valide.
-> Choisis Exécuter..., tape Explorer puis valide. )

a+

FABTOUR · Answer

Salut,

Alors là, je dis respet, les manip réalisées, le micro semble fonctionner normelemnt. Un vrai régal !

je te colle quand même le dernier rapport en date.

Clean Navipromo version 3.2.1 commencé le 14/10/2007 à 15:25:49,75

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique 


Executé en mode sans échec

*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Catchme ***

C:\WINDOWS\system32\eexjmprr.dat supprimé ! 
C:\WINDOWS\system32\eexjmprr.exe supprimé ! 
C:\WINDOWS\system32\eexjmprr_nav.dat supprimé ! 
C:\WINDOWS\system32\eexjmprr_navps.dat supprimé ! 
 
** 2ème passage avec résultats Catchme ** 

*** Suppression avec Backups résultats GenericNaviSearch ***

* Scan C:\WINDOWS\system32 *

gdxcibiq.exe trouvé !
Copie gdxcibiq.exe réalise avec succès !
gdxcibiq.exe supprimé !

klniucjxw.exe trouvé !
Copie klniucjxw.exe réalise avec succès !
klniucjxw.exe supprimé !

ncytuqy.exe trouvé !
Copie ncytuqy.exe réalise avec succès !
ncytuqy.exe supprimé !

pejsabu.exe trouvé !
Copie pejsabu.exe réalise avec succès !
pejsabu.exe supprimé !


* Scan C:\DOCUME~1\Fabrice\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Fabrice\Application Data ***

...\Application Data\MessengerSkinner ...suppression... 
...\Application Data\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Fabrice\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

C:\WINDOWS\System32\oevymagx.dat trouvé !
Copie C:\WINDOWS\system32\oevymagx.dat réalise avec succès !
C:\WINDOWS\system32\oevymagx.dat supprimé !

C:\WINDOWS\System32\oevymagx_nav.dat trouvé !
Copie C:\WINDOWS\system32\oevymagx_nav.dat réalise avec succès !
C:\WINDOWS\system32\oevymagx_nav.dat supprimé !

C:\WINDOWS\system32\oevymagx_navps.dat trouvé !
Copie C:\WINDOWS\system32\oevymagx_navps.dat réalise avec succès !
C:\WINDOWS\system32\oevymagx_navps.dat supprimé !


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok


*** Certificats ***

Certificat Egroup supprimé !



*** Nettoyage termine le 14/10/2007 à 15:26:58,90 ***



Merci de me confirmer quand même que tout est Ok...

Merci encore et bonne fin de journée

Kevindu36 · Answer

re

normalement c'est OK !!!

mais fait ça quand même !!

Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
http://www.malekal.com/download/clean.zip
-- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci
-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître
choisi l'option 1

-le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
tuto:http://dvdlmbrt.chez-alice.fr/clean_102.htm

++

FABTOUR · Answer

b'soir kevindu36
Alors, sur la derniere manip, voilà le résultat :

 14/10/2007 a 19:34:31,97 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport 

mon disque est partitionné en deux, c: Disque système et D: Disque de stockage.

Il ne devrait pas regarder sur  d: aussi ???

merci encore pour ton aide !

Kevindu36 · Answer

non tout est bon mais bon^^
poste un rapport hijakthis
https://forums.cnetfrance.fr

merci

Log hijackthis suite messenger skinner

8 réponses

Discussions similaires