Infection trojan + restauration SystemeRésolu/Fermé

Question

Bonjour,
J'ai été infecté par un Trojan le 24 Octobre.  J'avai la "Security toolbar" qui s'affichait.  
J'ai réussi a m'en débarrasser mai  j'ai encore des probleme avec nottament l'apparition de pages Web non désirées qui me proposent des antivirus...

De plus, je ne peux plu restaurer mon systeme a une Date antérieure au 24 (soit le jour de l'infection...)  le point de restauration du 24 indique "Last Known good configuration"... qui me semble etrange.

J'ai fai un Log avec Hijack ansin qu'avec Navilog mai qu'en faire ??
dois je les poster ?

quelqu'un peut il m'aider svp?

Merci

mucho 1 · Answer

Bonsoir,

peux tu poster dans un premier temps le rapport Navilog

merci

@+

Flow87 · Answer

Le Voici 




Search Navipromo version 3.3.2 commencé le 30/10/2007 à 22:04:55,89

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\HP_Propri‚taire\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

ceyyaqhep.exe trouvé ! 
hzfooy.exe trouvé ! 
udavpfa.exe trouvé ! 
zuheis.exe trouvé ! 

* Recherche dans C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1 *

Fichiers trouvés :

uidlivbjgt.exe trouvé ! 



*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-32E2EC7C.pf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\hhhkj.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche Heuristique :


C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1\uidlivbjgt.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse terminée le 30/10/2007 à 22:06:25,82 ***

mucho 1 · Answer

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. 
Au menu principal, choisis l'option 2 et valide par [Entrée]. 
Le fix va t'informer qu'il va alors redémarrer ton PC. 
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuie sur une touche comme demandé. (Si ton Pc ne redémarre pas automatiquement, fais-le toi même) 

Au redémarrage de ton PC, choisis ta session habituelle. 
Patiente jusqu'au message : *** Nettoyage Termine le ..... *** 
Le Bloc-notes va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver. 
Referme le Bloc-Notes. Ton bureau va réapparaître.
Note : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Rends-toi à l'onglet "Processus", clique en haut à gauche sur > Fichiers et choisis > Exécuter Tape: explorer et valide. Celà te fera apparaître ton Bureau.

Ensuite ferme Internet explorer s'il est ouvert. Rends toi dans ton Menu démarrer, Paramètres, Panneau de configuration, Options Internet. 
Clique sur l'onglet Contenu, puis Certificats. 
Dans tous les onglets, Personnel, Autres personnes, etc. cherche et supprime si tu les trouves : 
electronic-group 
egroup 
Montorgueil 
VIP 
"Sunny Day Design Ltd".

Flow87 · Answer

Justa avant de faire ca une question.

y a t il un risque de perte des données?? 
parce que je n'ai rien sauvegarder encore et ca m'ambeterai de tout perdre.  Surtout que je n'ai pa encore graver les Cd de réinstallation XP...

mucho 1 · Answer

Tu n'as pas de risque de perte de données.

Parcontre tu aurais du graver ton CD de réinstallation lorsque tu as eu ton PC

Ne le fait surtout pas maintenant, attend que ton Pc soit clean

@+

Flow87 · Answer

ok j'ai effecteur la suppression avec Navilog, apparament avec succes, mai je ne peux toujours pas faire de restauration du Systeme a une date antiérieure a celle de l'infection.
De plus, j'ai toujours des fenetres internet qui s 'ouvrent toutes seules
( mai ce ne sont pa des publicités pour des antivirus comme avant mai des pubs diverses pour gagner les lecteurs ou des voyages...)

Que faire ??

Merci

mucho 1 · Answer

Pour ra restauration du système ne changera rien, tu sera toujours infecté

Poste moi le rapport Navilog qui de trouve dans C:\cleannavi.txt

maintenant Télécharge Vundofix (de Atribune) sur ton Bureau 
http://www.atribune.org/ccount/click.php?id=4


- Double-clique VundoFix.exe afin de le lancer. 
- Clique sur le bouton Scan for Vundo. 
- Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
- Une invite te demandera si tu veux supprimer les fichiers, clique YES 
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
- Démarre ton PC à nouveau. 
- Copie/colle le contenu du rapport situé dans C:\vundofix.txt 

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

@+

Flow87 · Answer

Voila le rapport Navilog

Clean Navipromo version 3.3.2 commencé le 30/10/2007 à 23:30:10,26

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

ceyyaqhep.exe trouvé !
Copie ceyyaqhep.exe réalisé avec succès !
ceyyaqhep.exe supprimé !

hzfooy.exe trouvé !
Copie hzfooy.exe réalisé avec succès !
hzfooy.exe supprimé !

C:\WINDOWS\prefetch\hzfooy*.pf trouvé !
Copie C:\WINDOWS\prefetch\hzfooy*.pf réalisé avec succès !
C:\WINDOWS\prefetch\hzfooy*.pf supprimé !

udavpfa.exe trouvé !
Copie udavpfa.exe réalisé avec succès !
udavpfa.exe supprimé !

C:\WINDOWS\prefetch\udavpfa*.pf trouvé !
Copie C:\WINDOWS\prefetch\udavpfa*.pf réalisé avec succès !
C:\WINDOWS\prefetch\udavpfa*.pf supprimé !

zuheis.exe trouvé !
Copie zuheis.exe réalisé avec succès !
zuheis.exe supprimé !

C:\WINDOWS\prefetch\zuheis*.pf trouvé !
Copie C:\WINDOWS\prefetch\zuheis*.pf réalisé avec succès !
C:\WINDOWS\prefetch\zuheis*.pf supprimé !

C:\WINDOWS\prefetch\uidlivbjgt*.pf trouvé !
Copie C:\WINDOWS\prefetch\uidlivbjgt*.pf réalisé avec succès !
C:\WINDOWS\prefetch\uidlivbjgt*.pf supprimé !


* Suppression dans C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1 *

uidlivbjgt.exe trouvé !
Copie uidlivbjgt.exe réalisé avec succès !
uidlivbjgt.exe supprimé !

uidlivbjgt.dat trouvé !
Copie uidlivbjgt.dat réalisé avec succès !
uidlivbjgt.dat supprimé !

uidlivbjgt_nav.dat trouvé !
Copie uidlivbjgt_nav.dat réalisé avec succès !
uidlivbjgt_nav.dat supprimé !

uidlivbjgt_navps.dat trouvé !
Copie uidlivbjgt_navps.dat réalisé avec succès !
uidlivbjgt_navps.dat supprimé !



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression... 
C:\Program Files\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\HP_Propri‚taire\Application Data ***

...\Application Data\MessengerSkinner ...suppression... 
...\Application Data\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf supprimé !    
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-32E2EC7C.pf supprimé !    

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\HP_Propri‚taire\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\hhhkj.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 30/10/2007 à 23:35:59,35 ***








Je vai faire ce que tu m'as dit avec VundoFix
a+

Flow87 · Answer

j'ai fais le scann avec vundo Fix il a bien trouvé un élément qu'il a supprimé mai apres redémarrage j'ai toujours les Fenetres internet qui s'ouvrent toutes seules (comme Smiley central)

y a t il qqchose a faire ??
Merci

mucho 1 · Answer

Poste moi le rapport Vundofix

merci

Flow87 · Answer

LE voici 


VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 22:10:10 24/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\cijtzobe.dll
C:\windows\system32\fccdayv.dll
C:\WINDOWS\system32\jjhyllba.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\cijtzobe.dll
C:\WINDOWS\system32\cijtzobe.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jjhyllba.dll
C:\WINDOWS\system32\jjhyllba.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 21:18:01 25/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\qxinqnub.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\qxinqnub.dll
C:\WINDOWS\system32\qxinqnub.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 15:57:42 28/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\rmkjxfgl.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\rmkjxfgl.dll
C:\WINDOWS\system32\rmkjxfgl.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 20:23:45 31/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\fahvaoax.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\fahvaoax.dll
C:\WINDOWS\system32\fahvaoax.dll Has been deleted!

Performing Repairs to the registry.
Done!

mucho 1 · Answer

Il faut bien lire les instructions regarde au poste 7 tout et écrit

sinon tu le trouve dans C:\vundofix.txt

Flow87 · Answer

LE voici 


VundoFix V6.5.10 

Checking Java version... 

Java version is 1.5.0.6 
Old versions of java are exploitable and should be removed. 

Java version is 1.5.0.10 

Scan started at 22:10:10 24/10/2007 

Listing files found while scanning.... 

C:\WINDOWS\system32\cijtzobe.dll 
C:\windows\system32\fccdayv.dll 
C:\WINDOWS\system32\jjhyllba.dll 

Beginning removal... 

Attempting to delete C:\WINDOWS\system32\cijtzobe.dll 
C:\WINDOWS\system32\cijtzobe.dll Has been deleted! 

Attempting to delete C:\WINDOWS\system32\jjhyllba.dll 
C:\WINDOWS\system32\jjhyllba.dll Has been deleted! 

Performing Repairs to the registry. 
Done! 

VundoFix V6.5.10 

Checking Java version... 

Java version is 1.5.0.6 
Old versions of java are exploitable and should be removed. 

Java version is 1.5.0.10 

Scan started at 21:18:01 25/10/2007 

Listing files found while scanning.... 

C:\WINDOWS\system32\qxinqnub.dll 

Beginning removal... 

Attempting to delete C:\WINDOWS\system32\qxinqnub.dll 
C:\WINDOWS\system32\qxinqnub.dll Has been deleted! 

Performing Repairs to the registry. 
Done! 

VundoFix V6.5.10 

Checking Java version... 

Java version is 1.5.0.6 
Old versions of java are exploitable and should be removed. 

Java version is 1.5.0.10 

Scan started at 15:57:42 28/10/2007 

Listing files found while scanning.... 

C:\WINDOWS\system32\rmkjxfgl.dll 

Beginning removal... 

Attempting to delete C:\WINDOWS\system32\rmkjxfgl.dll 
C:\WINDOWS\system32\rmkjxfgl.dll Has been deleted! 

Performing Repairs to the registry. 
Done! 

VundoFix V6.5.10 

Checking Java version... 

Java version is 1.5.0.6 
Old versions of java are exploitable and should be removed. 

Java version is 1.5.0.10 

Scan started at 20:23:45 31/10/2007 

Listing files found while scanning.... 

C:\WINDOWS\system32\fahvaoax.dll 

Beginning removal... 

Attempting to delete C:\WINDOWS\system32\fahvaoax.dll 
C:\WINDOWS\system32\fahvaoax.dll Has been deleted! 

Performing Repairs to the registry. 
Done! 


10 message(s) posté(s) depuis le mercredi 24 octobre 2007

mucho 1 · Answer

Télécharge Combofix (par sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Double clique combofix.exe. 
Tape sur la touche 1 (Yes) pour démarrer le scan.  
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.  
 
Le rapport se trouve ici : C:\Combofix.txt

@+

Flow87 · Answer

voila le log mai j'ai eu un gros probleme. apres le scan il a redémaré mon Pc et Norton s'est mis en rade ma signalant qu'un Script dangereux etait en application et il me conseillai de l'arreté. mai impossible de cliqué lordi a buggé et norton s'est désactivé tout seul sans moyen de le remettre en Etat. J'ai donc procédé a une restauration du systeme a la date d'hier (le 30 Octobre) Premiere question que s'est il passé ?? est ce normal ?? c'est Lhistoire Du script et de Noton qui m'inquiete le plus!! Deuxieme question que faire maintenant ? refaire une analyse avec Navilog ? VundoFix ? Combofix ? (sans risques) merci Voila le log ComboFix 07-10-29.1 - HP_Propriétaire 2007-10-31 21:54:24.1 - NTFSx86 Running from: C:\Documents and Settings\HP_Propriétaire\Bureau\Fichiers Téléchargés\ComboFix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\HP_Propriétaire\Favoris\Online Security Guide.lnk C:\Program Files\Fichiers communs\Yazzle1848OinUninstaller.exe C:\WINDOWS\cookies.ini C:\WINDOWS\system32\__c0043D8D.dat C:\WINDOWS\system32\__c0057782.dat C:\WINDOWS\system32\__c005C910.dat C:\WINDOWS\system32\__c005CB14.dat C:\WINDOWS\system32\__c006C601.dat C:\WINDOWS\system32\__c00F85C1.dat C:\WINDOWS\system32\cijtzobe.dllbox C:\WINDOWS\system32\hhhkj.bak2 C:\WINDOWS\system32\hhhkj.ini C:\WINDOWS\system32\ixpxowpr.dll C:\WINDOWS\system32\jkhhh.dll C:\WINDOWS\system32\jvdtdhjy.dll C:\WINDOWS\system32\kvmgsqoh.dll C:\WINDOWS\system32\majterwj.dll C:\WINDOWS\system32\mfrwomwv.dll C:\WINDOWS\system32 vrssk.dll C:\WINDOWS\system32 vrssl.dll C:\WINDOWS\system32\oorgvqry.ini C:\WINDOWS\system32\oquevwtu.dll C:\WINDOWS\system32\qgihjtlu.dll C:\WINDOWS\system32\sgxnrvyw.dll C:\WINDOWS\system32\swxiskxw.dll C:\WINDOWS\system32\uyowiffg.dll C:\WINDOWS\system32\vfdtdrok.dll C:\WINDOWS\system32\wvompvfg.dll C:\WINDOWS\system32\yrqvgroo.dll D:\Autorun.inf N:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_NWSAPAGENT -------\NwSapAgent ((((((((((((((((((((((((((((( Fichiers créés 2007-09-28 to 2007-10-31 )))))))))))))))))))))))))))))))))))) . 2007-10-31 21:52 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-31 19:21 d-------- C:\Downloads 2007-10-31 19:21 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll 2007-10-31 19:19 d-------- C:\Program Files\BitComet3 2007-10-24 21:10 d-------- C:\VundoFix Backups 2007-10-24 19:04 d-------- C:\Program Files\Navilog1 2007-10-24 18:33 d-------- C:\Program Files\Hijackthis Version Française 2007-10-24 18:27 2,996 --a------ C:\WINDOWS\system32 mp.reg 2007-10-24 18:20 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-10-24 18:20 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-24 18:20 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-24 18:20 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-10-22 14:55 d--h----- C:\WINDOWS\msdownld.tmp 2007-10-22 14:55 d-------- C:\WINDOWS\Historique 2007-09-26 18:11 d-------- C:\Program Files\KONAMI 2007-09-25 17:54 d-------- C:\Program Files\LimeWirePro 2007-09-22 14:25 d-------- C:\Program Files\SpeedFan 2007-09-20 15:22 29,400 --a------ C:\WINDOWS\system32\drivers\Capt905c.sys 2007-09-20 15:22 24,382 --a------ C:\WINDOWS\system32\drivers\Camd905c.sys 2007-09-20 12:46 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-09-19 17:54 d-------- C:\Program Files\AVG Anti-Spyware 7.5 2007-09-19 17:54 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Grisoft 2007-09-19 17:54 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-09-19 17:15 d-------- C:\Program Files\Adaware2007 2007-09-19 17:15 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2007-09-19 17:14 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2007-09-09 21:33 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\U3 2007-09-09 00:30 d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment 2007-09-08 08:36 d-------- C:\Program Files\WowCartographe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-31 21:00 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\uTorrent 2007-10-31 18:21 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2007-10-28 16:47 57,010 ----a-w C:\Documents and Settings\HP_Propriétaire\Application Data\wklnhst.dat 2007-10-23 07:38 --------- d-----w C:\Program Files\Norton Internet Security 2007-10-22 13:58 --------- d-----w C:\Program Files\Microsoft Picture It! PhotoPub 2007-10-17 18:48 --------- d-----w C:\Program Files\K!TV2 2007-10-17 13:18 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\AdobeUM 2007-09-30 13:16 --------- d-----w C:\Program Files\LimeWire2 2007-09-22 15:15 --------- d-----w C:\Program Files\TvAnts 2007-09-20 14:22 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-09-19 18:16 --------- d-----w C:\Program Files\PpStream Fr 2007-09-18 11:51 --------- d-----w C:\Program Files\MP3 WAV Converter 2007-08-30 17:51 --------- d-----w C:\Program Files\Mp3 To Wave Converter Plus 2007-08-30 14:20 --------- d-----w C:\Program Files\Picture It! Premium 10 2007-07-02 19:41 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2007-07-02 19:41 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-07-02 19:41 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-07-02 19:41 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2007-07-02 19:41 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2007-07-02 19:41 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe 2007-07-02 19:41 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-07-02 19:37 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2007-07-02 19:37 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2007-07-02 19:37 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2007-07-02 19:37 740,442 ----a-w C:\WINDOWS\system32\DivX.dll 2007-07-02 19:37 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-07-02 19:37 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-07-02 19:37 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-07-02 19:37 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-07-02 19:37 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-07-02 19:37 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-07-02 19:37 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-07-02 19:37 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-07-02 19:36 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe 2007-07-02 19:36 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2006-05-10 20:35 4,096 ----a-w C:\Documents and Settings\HP_Propriétaire\log.dat 2006-05-10 20:35 4,096 ----a-w C:\Documents and Settings\HP_Propriétaire\log.dat 2006-04-20 19:47 95,488 ----a-w C:\Documents and Settings\HP_Propriétaire\Application Data\GDIPFONTCACHEV1.DAT 2005-11-15 09:56 380,928 ----a-r C:\Program Files\server.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07] "hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 17:04] "HPHUPD06"="c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 19:53] "HPHmon06"="C:\WINDOWS\system32\hphmon06.exe" [2004-06-07 19:43] "Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 21:43] "RTHDCPL"="RTHDCPL.EXE" [2005-04-13 07:21 C:\WINDOWS\RTHDCPL.EXE] "LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 21:54] "Reminder"="C:\Windows\Creator\Remind_XP.exe" [2004-12-14 00:23] "UpdateManager"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 00:01] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 17:32] "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 15:24] "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 15:14] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-02-21 15:29] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-05-20 13:32] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-17 08:31] "!AVG Anti-Spyware"="C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" [2007-09-19 17:56] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-17 08:31] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 14:57] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2006-01-19 22:03] "LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 19:00] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 20:14] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"=0 (0x0) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\jkhhh.dll R0 Stlth317;Stlth317;C:\WINDOWS\system32\DRIVERS\stlth317.sys R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys R3 PhTVTune;ASUS WDM TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS R3 WN5401;Liteon Wireless LAN PCI 802.11 a/b/g adapter WN5401A;C:\WINDOWS\system32\DRIVERS\wn5401.sys S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS S3 DSDrv4;DSDrv4;\??\C:\PROGRA~1\K!TV2\Plugins\S_Bt8x8\DSDrv4.sys S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\P] AutoRun\command - P:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8dedf2dc-3530-11dc-a003-101111111111}] Auto\command - bittorrent.exe e AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4b92224-5eda-11dc-a020-101111111111}] AutoRun\command - O:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecc1d504-494e-11da-9c50-00073a40c362}] AutoRun\command - M:\Autorun.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-10-30 11:09:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" "2007-09-21 17:42:29 C:\WINDOWS\Tasks\HubTask 0 {0E7C166E-2D2F-4269-9034-DE1898BF2B1A} 0~0.job" "2007-10-26 18:00:53 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - HP_Propriétaire.job" . ************************************************************************** catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-31 22:02:54 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-01 1:31:47 - machine was rebooted . --- E O F ---

mucho 1 · Answer

Bonjour,

je suis désolé pour le désagrément, Norton n'a pas apprécié l'execution de Combofix
certains fix utilisé sont reconnus par certains antivirus comme dangereux, mais bon là Norton il a fait fort
ton Norton fonction normalement à présent ?

Comme tu a fais une restauration systeme normalement l'infection est de nouveau présente

pour la suite de la procédure tu désactivera Norton à chaque utilisation de Fix

Télécharge Navilog1 (de IL.MAFIOSO) http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
-	Double clique sur navilog1.exe pour lancer l'installation.
-	Une fois l'installation terminée, le fix s'exécutera automatiquement. 
-	Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau. 

Laisse-toi guider. Au menu principal, choisis l'option 1 et valide par [Entrée]
/*\ Ne fais pas le choix 2,3 ou 4 sans avis ou accord /*\
Patiente jusqu'au message : « Analyse terminée le .... » 
Appuie sur une touche comme demandé, le Bloc-Notes va s'ouvrir. 
Copie-colle l'intégralité du rapport dans ta prochaine réponse. 


Attention!: Il est possible que ton antivirus refuse de laisser télécharger Navilog1, il suffit de le désactiver. N'oublie pas de le réactiver par la suite!

@+

Flow87 · Answer

voila le log navilog en option 1


Search Navipromo version 3.3.2 commencé le 01/11/2007 à 15:02:24,23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\HP_Propri‚taire\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

ceyyaqhep.exe trouvé ! 
hzfooy.exe trouvé ! 
udavpfa.exe trouvé ! 
zuheis.exe trouvé ! 

* Recherche dans C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1 *

Fichiers trouvés :

uidlivbjgt.exe trouvé ! 



*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\hhhkj.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche Heuristique :


C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1\uidlivbjgt.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse terminée le 01/11/2007 à 15:03:28,12 ***










Dois je le faire en option 2 ??

mucho 1 · Answer

Oui fait l'option 2

@+

Flow87 · Answer

fait ^^

voici le log

Clean Navipromo version 3.3.2 commencé le 01/11/2007 à 15:05:11,71

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

ceyyaqhep.exe trouvé !
Copie ceyyaqhep.exe réalisé avec succès !
ceyyaqhep.exe supprimé !

hzfooy.exe trouvé !
Copie hzfooy.exe réalisé avec succès !
hzfooy.exe supprimé !

udavpfa.exe trouvé !
Copie udavpfa.exe réalisé avec succès !
udavpfa.exe supprimé !

zuheis.exe trouvé !
Copie zuheis.exe réalisé avec succès !
zuheis.exe supprimé !

C:\WINDOWS\prefetch\uidlivbjgt*.pf trouvé !
Copie C:\WINDOWS\prefetch\uidlivbjgt*.pf réalisé avec succès !
C:\WINDOWS\prefetch\uidlivbjgt*.pf supprimé !


* Suppression dans C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1 *

uidlivbjgt.exe trouvé !
Copie uidlivbjgt.exe réalisé avec succès !
uidlivbjgt.exe supprimé !

uidlivbjgt.dat trouvé !
Copie uidlivbjgt.dat réalisé avec succès !
uidlivbjgt.dat supprimé !

uidlivbjgt_nav.dat trouvé !
Copie uidlivbjgt_nav.dat réalisé avec succès !
uidlivbjgt_nav.dat supprimé !

uidlivbjgt_navps.dat trouvé !
Copie uidlivbjgt_navps.dat réalisé avec succès !
uidlivbjgt_navps.dat supprimé !



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression... 
C:\Program Files\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\HP_Propri‚taire\Application Data ***

...\Application Data\MessengerSkinner ...suppression... 
...\Application Data\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\HP_Propri‚taire\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\hhhkj.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 01/11/2007 à 15:08:12,85 ***





 

que dois je faire a présent ? un scan Vundo ?

mucho 1 · Answer

Oui parfaitement, mais n'oublies pas de désactiver Norton pour chaque Fix utilisé.

Poste moi le rapport

merci

Flow87 · Answer

voila le rapport Vundo


VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 22:10:10 24/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\cijtzobe.dll
C:\windows\system32\fccdayv.dll
C:\WINDOWS\system32\jjhyllba.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\cijtzobe.dll
C:\WINDOWS\system32\cijtzobe.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jjhyllba.dll
C:\WINDOWS\system32\jjhyllba.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 21:18:01 25/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\qxinqnub.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\qxinqnub.dll
C:\WINDOWS\system32\qxinqnub.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 15:57:42 28/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\rmkjxfgl.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\rmkjxfgl.dll
C:\WINDOWS\system32\rmkjxfgl.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 20:23:45 31/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\fahvaoax.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\fahvaoax.dll
C:\WINDOWS\system32\fahvaoax.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 17:11:04 01/11/2007

Listing files found while scanning....

C:\WINDOWS\system32\fahvaoax.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\fahvaoax.dll
C:\WINDOWS\system32\fahvaoax.dll Has been deleted!

Performing Repairs to the registry.
Done!




mtnt je suppose que je doi recomencer avec Combofix (en esperant ne pas avoir de problemes)
cependant une question, je doi desacticver "noton Antivirus Autoprotect" ou bien "Norton Internet Secutity" ?  ou les 2 ?
Merci

mucho 1 · Answer

oui pas un coup de Combofix et oui désactive les 2

@+

Flow87 · Answer

j'ai bien fai comme tu m'as dit mai malheureusement encore un Probleme de Norton !!!!    

En fait aucun probleme au début de l'application mais quand il redémarre c'est la grosse galere. Norton ma signale que plusieurs Script sont dangereux et que je devrai les arreter...
Il bug me dit que ma période d'essai est arrivée a Expiration et la situation est pire qu'avant.
j'ai des Signaux d'erreurs dans la barre de taches, des Message d'alertes que j'avai réussi a erradiqué qui reviennent et qui me proposent d'analyser mon PC (qui fait un bruit d'enfer au passage et qui tourne plus qu'au ralentit...)


j'ai donc refai une restauration Systemen mai cette fois juste avant lexecution du ComboFix. et la ca va j'ai que les pages web qui s'affichent toutes seules

Qu'est ce qui faut que je fasse ??
Merci

mucho 1 · Answer

si ta période d'éssai  de Norton et terminé tu peu le supprimer et télécharger un autre antivirus

je peux te proposer Antivir en anglais mais gratuis et plus performant qu'Avast

Flow87 · Answer

non mai en fait c'est ca le probleme c'est que j'ai pas de periode d'esai!!  il débloque completement j'ai payé un abonnement annuel qui cours jusqu"en Janvier.   c'est bien spécifié quand je regarde.

c'est juste au redemarrage apres Combofix quil délire et me balance cette info.

D'ou vien le probleme ?  n'y a t il pa un autre logiciel pour desinfecter mon pc  ou une autre procedure a suivre ?

mucho 1 · Answer

je ne vois pas d'autre fix concernant ton problème

la seul chose que je peux te conseiller c'est de changer d'antivirus

Flow87 · Answer

ok c'est ce que je vai faire quand j'aurai le temps. 
pourrai tu m'indiquer la procedure a suivre une fois que ca sera fai.
y a t il enore des Fix a utilisé ? lesquels ?

merci d'avance

mucho 1 · Answer

Je ne peux pas te dire quels Fix utiliser cela dépend de tes rapports il faut absolument que tu les postes
pour voir les infections

@+

Flow87 · Answer

Bonjour,

J'ai essayé de desinstallé Norton mais mon PC n'a pa du tout apprécié.

En effet au moment du Setup de désinstallation tout d'un coup ecran tout noir et impossible de ne rien faire.
J'ai donc étenit et rallumé mon pc manuellement  et au démarage  un ecran bleu clair windows XP m'indiquait que il y avait eu un probleme avec le fichier "Fat32" ou qqchose comme ca et qu'il fallait procédé a l'analyse du Disque Dur (ce qu'il a fait) avant de redémarer normalement.

Une fois sur le Burreau Norton est toujours bien en place.  
comment je peux faire pour le supprimé ?

Flow87 · Answer

J'ai réusi a le supprimé grace au Logiciel de Symantec ! (enfin!) 
J'ai désormais un nouvel antivirus avast! . Je ne peu cependant toujours pa acceder a des pages sécurisées telles que celle de ma banque...

J hesite bcp a effectuer un scan avec Combo fix var en cas de rattage je n'ai plu de possibilité de restauré mon systeme ( fonction rendue impossible je ne sais pourquoi... page blanche quand j'ouvre l'application)

Que faire ?  aidez moi svp 

Merci d'avance

mucho 1 · Answer

Bonjour,

désolé pour mon absence, si tu veux que l'on reprenne le sujet tiens moi au courant.

@+

Flow87 · Answer

non merci c'est bon j'ai tou simplement réinstallé windows je n'ai plu de problemes.
Merci encore d'avoir bien voulu m'aider.

++

Infection trojan + restauration Systeme

32 réponses

Discussions similaires

Newsletters