Rapport Navilog1

nev49 -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

Voici le rapport de Navilog1, je suis pas un spécialiste alors merci d'avance pour votre aide :

earch Navipromo version 3.3.6 commencé le 24/11/2007 à 22:16:04,01

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13

*** Recherche Programmes installés ***

WebMediaPlayer

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\Instant Access trouvé !
C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\vv\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\koos.exe

Processus caché(s) :

C:\WINDOWS\system32\koos.exe

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\VV\LOCALS~1\APPLIC~1 *

Fichiers trouvés :

vzgtyphin.exe trouvé !
vzgtyphin.dat trouvé !
vzgtyphin_nav.dat trouvé !
vzgtyphin_navps.dat trouvé !

*** Recherche fichiers ***

C:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk trouvé !
C:\WINDOWS\Downloaded Program Files\IaLdr32.inf trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-216E8E59.pf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\DOCUME~1\VV\LOCALS~1\APPLIC~1\vzgtyphin.dat trouvé !
C:\DOCUME~1\VV\LOCALS~1\APPLIC~1\vzgtyphin_nav.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse terminée le 24/11/2007 à 22:16:53,09 ***
Configuration: Windows XP
Internet Explorer 7.0

13 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
    http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
    0
  2. nev49
     
    Bonsoir,
    Merci pour ton aide, alors j'ai fai le nettoyage par Navilog1 et j'ai eu un message :
    "La modification du registre a été désactivée par votre administrateur" ????

    Mais j'ai mis "OK" le nettoyage a continuer

    Voici le rapport HijackThis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:09:07, on 24/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\msanton.exe
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\spoolv.exe
    C:\Program Files\Registry Clean Expert\RCScheduler.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe
    O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolv.exe
    O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe
    O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
    O4 - HKCU\..\Run: [nzdzzj] c:\documents and settings\vv\local settings\application data\nzdzzj.exe nzdzzj
    O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: setings.exe
    O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
    O4 - Global Startup: startup.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    poste le rapport de navilog.
    0
  4. nev49
     
    Voilà :

    Clean Navipromo version 3.3.6 commencé le 24/11/2007 à 23:02:59,05

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.13

    Mode suppression automatique

    *** Creation backups fichiers trouvés par Catchme ***

    Copie vers "C:\Program Files\navilog1\Backupnavi"

    Copie C:\WINDOWS\system32\koos.exe réalisé avec succès !

    *** Suppression des fichiers trouvés avec Catchme ***

    C:\WINDOWS\system32\koos.exe supprimé !

    ** 2ème passage avec résultats Catchme **

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans C:\WINDOWS\System32 *

    C:\WINDOWS\prefetch\vzgtyphin*.pf trouvé !
    Copie C:\WINDOWS\prefetch\vzgtyphin*.pf réalisé avec succès !
    C:\WINDOWS\prefetch\vzgtyphin*.pf supprimé !

    * Suppression dans C:\DOCUME~1\VV\LOCALS~1\APPLIC~1 *

    vzgtyphin.exe trouvé !
    Copie vzgtyphin.exe réalisé avec succès !
    vzgtyphin.exe supprimé !

    vzgtyphin.dat trouvé !
    Copie vzgtyphin.dat réalisé avec succès !
    vzgtyphin.dat supprimé !

    vzgtyphin_nav.dat trouvé !
    Copie vzgtyphin_nav.dat réalisé avec succès !
    vzgtyphin_nav.dat supprimé !

    vzgtyphin_navps.dat trouvé !
    Copie vzgtyphin_navps.dat réalisé avec succès !
    vzgtyphin_navps.dat supprimé !

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    C:\Program Files\Instant Access ...suppression...
    C:\Program Files\Instant Access supprimé !

    C:\Program Files\WebMediaPlayer ...suppression...
    C:\Program Files\WebMediaPlayer supprimé !

    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Suppression dossiers dans C:\Documents and Settings\vv\Application Data ***

    *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***

    *** Suppression fichiers ***

    C:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk supprimé !
    C:\WINDOWS\Downloaded Program Files\IaLdr32.inf supprimé !
    C:\WINDOWS\system32\nvs2.inf supprimé !
    C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-216E8E59.pf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\vv\Local Settings\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche, création sauvegardes et suppression Heuristique :

    *** Sauvegarde du Registre vers dossier Backupnavi ***

    sauvegarde du Registre réalisé avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !

    *** Nettoyage terminé le 24/11/2007 à 23:05:35,71 ***

    Les alertes coninuent .....
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    belle brochette d'infections !

    A tel point que je ne sais pas dans quel état sera l'ordi après désinfection.

    Je t'engage vivement à faire une sauvegarde de tes fichiers personnels sur un support externe.

    Tu as le Cd de Windows et la clé d'enregistrement à 25 caractères ?

    1) Quel était ton antivirus ?

    2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    Double-clique VundoFix.exe afin de le lancer.

    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau.
    Copie/colle le rapport (c:\vundofix.txt) dans ta réponse

    3) ========================================
    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]
    ========================================

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\msanton.exe
    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Tu recommences avec :

    C:\WINDOWS\system32\spoolv.exe
    C:\WINDOWS\system32\timoty.exe

    4) recherche (par la fonction rechercher de WWindows clic droit sur Démarrer, rechercher) les noms complets de
    setings.exe
    startup.exe

    Tu les soumets ensuite à Virus Total.

    5) Relance HijackThis.

    Choisis Do a scan only

    Coche la case devant les lignes suivantes

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe
    O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolv.exe
    O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe
    O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe
    O4 - Startup: setings.exe
    O4 - Global Startup: startup.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

    Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

    Clique sur fix checked.

    Ferme Hijackthis.

    6) télécharge combofix (par sUBs)ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    2 double-clique sur combofix.exe et suis les instructions

    3 à la fin, il va produire un rapport C:\ComboFix.txt

    4 copie/colle ce rapport dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    7) Télécharge Superantispyware (SAS) en cliquant sur ce lien :

    https://www.superantispyware.com/superantispywarefreevspro.html

    Choisis "enregistrer" et enregistre-le sur ton bureau.

    Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

    Créé une icône sur le bureau.

    Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

    - Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
    - Sous Configuration and Preferences, clique sur le bouton "Preferences"
    - Clique sur l'onglet "Scanning Control "
    - Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

    Close browsers before scanning
    Scan for tracking cookies
    Terminate memory threats before quarantining
    - Laisse les autres lignes décochées.

    - Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

    - Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

    Dans la colonne de gauche, coche C:\Fixed Drive.

    Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

    Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

    A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

    Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

    Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

    Pour recopier les informations sur le forum, fais ceci :

    - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
    - Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
    - Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

    - Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

    - Copie son contenu dans ta réponse.

    8) Fais un scan en ligne Kaspersky avec Internet Explorer :
    - Clique sur Démarrer Online-Scanner

    - Clique maintenant sur J'accepte.
    - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    - Patiente pendant l'installation des Mises à jour.
    - Choisis par la suite l'analyse du Poste de travail.
    - Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

    9) Redémarre l'ordi et remets un rapport hijackthis (en plus de tous les autres).

    Bon courage.
    0
  7. nev49
     
    Salut,

    Bon j'ai dérouler tes demandes (bravo pour la réactivité!) et encore merci pour l'aide

    1/ Avast Edition familiale

    2/ vundo fix m'a renvoyer un message : "No infected files --> pas de rapport

    3/ le site www.virustotal.com ne marche pas ---> Etape non effectuée

    4/ Etape non effectuée

    5 / Fait

    6/ Rapport combofix :

    ComboFix 07-11-19.3 - vv 2007-11-25 1:14:04.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.249 [GMT 1:00]
    Running from: C:\Documents and Settings\vv\Bureau\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer\Conditions générales.lnk
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer\Confidentialité.lnk
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer\WebMediaPlayer.lnk
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer\Website.lnk
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Conditions générales.lnk
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Confidentialité.lnk
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Website.lnk
    C:\WINDOWS\system32\2_exception.nls
    C:\WINDOWS\system32\koos.exe
    C:\WINDOWS\system32\kprof
    C:\WINDOWS\system32\ntio256.sys
    C:\WINDOWS\system32\poof
    C:\WINDOWS\system32\svcp.csv
    C:\WINDOWS\system32\winsub.xml
    C:\WINDOWS\xlavba6.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_POOF
    -------\LEGACY_RUNTIME
    -------\LEGACY_XLAVBA8
    -------\runtime
    -------\xlavba8

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-25 00:50 <REP> d-------- C:\VundoFix Backups
    2007-11-24 22:36 <REP> d-------- C:\Program Files\Trend Micro
    2007-11-24 22:14 <REP> d-------- C:\Program Files\Navilog1
    2007-11-22 21:39 6,058,496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
    2007-11-22 21:39 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
    2007-11-22 21:39 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
    2007-11-22 21:39 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
    2007-11-22 21:39 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2007-11-22 21:39 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
    2007-11-22 21:39 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
    2007-11-22 21:39 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
    2007-11-22 21:39 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
    2007-11-22 21:38 <REP> d-------- C:\WINDOWS\system32\fr-fr
    2007-11-22 21:34 33,792 --a------ C:\WINDOWS\system32\dllcache\custsat.dll
    2007-11-22 21:22 64,000 --a------ C:\WINDOWS\system32\spools.exe
    2007-11-22 21:22 6,144 --a------ C:\WINDOWS\system32\timoty.exe
    2007-11-22 21:22 6,144 --a------ C:\WINDOWS\system32\msanton.exe
    2007-11-22 21:21 361,984 --a------ C:\WINDOWS\xlravcrx.exe
    2007-11-21 21:41 2,378 --a------ C:\WINDOWS\system32\tmp.reg
    2007-11-21 21:41 0 --a------ C:\WINDOWS\system32\tmp.txt
    2007-11-21 21:18 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
    2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
    2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
    2007-11-13 19:43 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
    2007-11-13 19:43 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
    2007-11-13 13:40 289,280 --a------ C:\WINDOWS\system32\libcurl.dll
    2007-11-13 13:40 55,808 --a------ C:\WINDOWS\system32\spoolv.exe
    2007-11-10 15:33 <REP> d-------- C:\Program Files\EA GAMES
    2007-11-10 13:20 12,960 --a------ C:\WINDOWS\system32\noskrnl.sys
    2007-11-10 13:19 123,754 --a------ C:\WINDOWS\noskrnl.exe
    2007-11-02 18:34 <REP> d-------- C:\Program Files\Monte Cristo

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-24 23:02 --------- d-----w C:\Program Files\eMule
    2007-11-24 18:50 --------- d-----w C:\Program Files\Warcraft III
    2007-11-24 18:47 --------- d-----w C:\Program Files\Tropico
    2007-11-24 18:43 --------- d-----w C:\Program Files\Registry Clean Expert
    2007-11-24 18:43 --------- d-----w C:\Program Files\QuickTime
    2007-11-24 18:41 --------- d-----w C:\Program Files\Microsoft Works
    2007-11-24 18:32 --------- d-----w C:\Program Files\Micro Flight
    2007-11-24 18:32 --------- d-----w C:\Program Files\MegaWorld
    2007-11-24 18:32 --------- d-----w C:\Program Files\jv16 PowerTools
    2007-11-24 18:31 --------- d-----w C:\Program Files\IZArc
    2007-11-24 18:31 --------- d-----w C:\Program Files\IndustryGiant 2
    2007-11-24 18:31 --------- d-----w C:\Program Files\Google
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolshare
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolback
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\AOL
    2007-11-24 18:03 --------- d-----w C:\Program Files\Dynamic Toolbar
    2007-11-24 18:03 --------- d-----w C:\Program Files\DivX
    2007-11-24 18:03 --------- d-----w C:\Program Files\Cossacks
    2007-11-24 17:58 --------- d-----w C:\Program Files\CCleaner
    2007-11-24 17:58 --------- d-----w C:\Program Files\AOL Compagnon
    2007-11-24 17:58 --------- d-----w C:\Program Files\AOL 9.0a
    2007-11-24 17:56 --------- d-----w C:\Program Files\ANNO 1602 Version Gold
    2007-11-10 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-11-10 12:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared
    2007-10-23 21:53 --------- d-----w C:\Documents and Settings\vv\Application Data\Grisoft
    2007-10-23 21:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-10-21 20:51 --------- d-----w C:\Program Files\JLC's Software
    2007-10-21 20:51 --------- d-----w C:\Documents and Settings\vv\Application Data\JLC's Software
    2007-10-21 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
    2007-10-21 12:36 --------- d-----w C:\Program Files\Yahoo!
    2007-10-01 19:11 --------- d-----w C:\Program Files\Neuf
    2007-02-18 12:08 788,064 ----a-w C:\Program Files\Norton_Removal_Tool.exe
    2005-04-17 16:51 7,741,352 ----a-w C:\Program Files\DivX521XP2K.exe
    2005-04-17 16:51 56 --sh--r C:\WINDOWS\system32\CA540B7CD3.sys
    2005-09-25 16:39 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RegClean Expert Scheduler"="C:\Program Files\Registry Clean Expert\RCScheduler.exe" [2004-01-01 20:57]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
    "eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 14:00 C:\WINDOWS\system32\rundll32.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05]
    "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 03:14]
    "AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-04-26 16:40]
    "AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2004-04-08 04:25]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-11-24 07:08]
    "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" []
    "HdReg"="C:\APPS\HDREG\HDREGAPP.exe" [2004-08-09 18:45]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" []

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"= 0 (0x0)

    R1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys
    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    S3 noskrnl.sys;noskrnl.sys;\??\C:\WINDOWS\system32\noskrnl.sys

    .
    **************************************************************************

    catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-25 01:20:51
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-25 1:23:10 - machine was rebooted
    .
    --- E O F ---
    7/ Rapport de SAS :

    SUPERAntiSpyware Scan Log
    https://www.superantispyware.com/

    Generated 11/25/2007 at 01:59 AM

    Application Version : 3.9.1008

    Core Rules Database Version : 3349
    Trace Rules Database Version: 1349

    Scan type : Complete Scan
    Total Scan Time : 00:25:34

    Memory items scanned : 314
    Memory threats detected : 0
    Registry items scanned : 5671
    Registry threats detected : 4
    File items scanned : 34276
    File threats detected : 11

    Rootkit.SpoolDR
    HKLM\System\ControlSet002\Services\noskrnl.sys
    C:\WINDOWS\SYSTEM32\NOSKRNL.SYS
    HKLM\System\ControlSet003\Services\noskrnl.sys
    HKLM\System\ControlSet004\Services\noskrnl.sys
    HKLM\System\CurrentControlSet\Services\noskrnl.sys
    C:\WINDOWS\NOSKRNL.EXE
    C:\WINDOWS\Prefetch\NOSKRNL.EXE-05A8803E.pf

    Trojan.Security Toolbar
    C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.url
    C:\Documents and Settings\All Users\Menu Démarrer\Security Troubleshooting.url

    Trojan.Downloader-Gen/NoMultiTask
    C:\SYSTEM VOLUME INFORMATION\_RESTORE{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138331.DLL
    C:\SYSTEM VOLUME INFORMATION\_RESTORE{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152545.DLL

    Trojan.Smitfraud Variant
    C:\WINDOWS\SYSTEM32\RLDYT.DLL

    Worm.Rbot-LD
    C:\WINDOWS\SYSTEM32\SPOOLS.EXE

    Trojan.Downloader-Gen/SpoolV
    C:\WINDOWS\SYSTEM32\SPOOLV.EXE
    C:\WINDOWS\Prefetch\SPOOLV.EXE-01DD07A2.pf

    8/ Impossible de faire marcher le Scan en ligne --> Erreur page --->Etape non effectuée

    9/ Rapport de hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 02:20:46, on 25/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Registry Clean Expert\RCScheduler.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\eMule\emule.exe
    C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    pas encore fini.

    L'urgent : antivirus et parefeu.

    Pour l'antivirus, plutôt que de réinstaller avast, je t'incite à prendre antivir.

    Tuto et lien de téléchargement ici :
    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    Pour le parefeu,tu as le choix entre ces deux possibilités :

    Zone Alarm Tuto et lien de téléchargement ici :
    https://www.malekal.com/tutoriel-zonealarm-firewall/

    Kerio Tuto et lien de téléchargement ici :
    http://www.malekal.com/kerio_firewall.php

    Il y en a d'autres que tu peux trouver en ouvrant ce lien :
    http://www.malekal.com/menu_tutorials_logiciels.php

    Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

    Remets un rapport Combofix.

    Ressaye les étapes 3 et 4 et poste les rapports.
    0
  9. nev49
     
    Bonjour,

    L'installation de antivar et de Sunbelt --> OK

    Voici le rapport de Combfix :

    ComboFix 07-11-19.3 - vv 2007-11-25 14:07:41.3 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.241 [GMT 1:00]
    Running from: C:\Documents and Settings\vv\Bureau\ComboFix.exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-25 13:21 <REP> d-------- C:\Program Files\Sunbelt Software
    2007-11-25 13:07 <REP> d-------- C:\Program Files\Avira
    2007-11-25 12:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-11-25 01:28 <REP> d-------- C:\Program Files\SUPERAntiSpyware
    2007-11-25 01:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-11-25 01:28 <REP> d-------- C:\Documents and Settings\vv\Application Data\SUPERAntiSpyware.com
    2007-11-25 01:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
    2007-11-25 00:50 <REP> d-------- C:\VundoFix Backups
    2007-11-24 22:36 <REP> d-------- C:\Program Files\Trend Micro
    2007-11-24 22:14 <REP> d-------- C:\Program Files\Navilog1
    2007-11-22 21:39 6,058,496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
    2007-11-22 21:39 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
    2007-11-22 21:39 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
    2007-11-22 21:39 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
    2007-11-22 21:39 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2007-11-22 21:39 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
    2007-11-22 21:39 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
    2007-11-22 21:39 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
    2007-11-22 21:39 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
    2007-11-22 21:38 <REP> d-------- C:\WINDOWS\system32\fr-fr
    2007-11-22 21:34 33,792 --a------ C:\WINDOWS\system32\dllcache\custsat.dll
    2007-11-22 21:22 6,144 --a------ C:\WINDOWS\system32\timoty.exe
    2007-11-22 21:21 361,984 --a------ C:\WINDOWS\xlravcrx.exe
    2007-11-21 21:41 2,378 --a------ C:\WINDOWS\system32\tmp.reg
    2007-11-21 21:41 0 --a------ C:\WINDOWS\system32\tmp.txt
    2007-11-21 21:18 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
    2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
    2007-11-13 19:43 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2007-11-13 19:43 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
    2007-11-13 13:40 289,280 --a------ C:\WINDOWS\system32\libcurl.dll
    2007-11-10 15:33 <REP> d-------- C:\Program Files\EA GAMES
    2007-11-02 18:34 <REP> d-------- C:\Program Files\Monte Cristo

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-25 13:05 --------- d-----w C:\Program Files\eMule
    2007-11-24 18:50 --------- d-----w C:\Program Files\Warcraft III
    2007-11-24 18:47 --------- d-----w C:\Program Files\Tropico
    2007-11-24 18:43 --------- d-----w C:\Program Files\Registry Clean Expert
    2007-11-24 18:43 --------- d-----w C:\Program Files\QuickTime
    2007-11-24 18:41 --------- d-----w C:\Program Files\Microsoft Works
    2007-11-24 18:32 --------- d-----w C:\Program Files\Micro Flight
    2007-11-24 18:32 --------- d-----w C:\Program Files\MegaWorld
    2007-11-24 18:32 --------- d-----w C:\Program Files\jv16 PowerTools
    2007-11-24 18:31 --------- d-----w C:\Program Files\IZArc
    2007-11-24 18:31 --------- d-----w C:\Program Files\IndustryGiant 2
    2007-11-24 18:31 --------- d-----w C:\Program Files\Google
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolshare
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolback
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\AOL
    2007-11-24 18:03 --------- d-----w C:\Program Files\Dynamic Toolbar
    2007-11-24 18:03 --------- d-----w C:\Program Files\DivX
    2007-11-24 18:03 --------- d-----w C:\Program Files\Cossacks
    2007-11-24 17:58 --------- d-----w C:\Program Files\CCleaner
    2007-11-24 17:58 --------- d-----w C:\Program Files\AOL Compagnon
    2007-11-24 17:58 --------- d-----w C:\Program Files\AOL 9.0a
    2007-11-24 17:56 --------- d-----w C:\Program Files\ANNO 1602 Version Gold
    2007-11-10 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-11-10 12:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared
    2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
    2007-10-23 21:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-10-21 20:51 --------- d-----w C:\Program Files\JLC's Software
    2007-10-21 20:51 --------- d-----w C:\Documents and Settings\vv\Application Data\JLC's Software
    2007-10-21 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
    2007-10-21 12:36 --------- d-----w C:\Program Files\Yahoo!
    2007-10-01 19:11 --------- d-----w C:\Program Files\Neuf
    2007-02-18 12:08 788,064 ----a-w C:\Program Files\Norton_Removal_Tool.exe
    2005-04-17 16:51 7,741,352 ----a-w C:\Program Files\DivX521XP2K.exe
    2005-04-17 16:51 56 --sh--r C:\WINDOWS\system32\CA540B7CD3.sys
    2005-09-25 16:39 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((( snapshot@2007-11-25_ 1.22.43.41 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\ARPPRODUCTICON.exe
    + 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut1_E659E0EE10E649B7869660F38D0EB174.exe
    + 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut2_8315396A5EA1419DBEC4978284BDF556.exe
    + 2007-11-25 00:28:40 29,696 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF11.exe
    + 2007-11-25 00:28:40 18,944 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
    + 2007-11-25 00:28:40 65,024 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
    + 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
    + 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
    + 2007-11-25 12:14:39 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
    + 2007-04-26 09:21:30 302,000 ----a-w C:\WINDOWS\system32\drivers\fwdrv.sys
    + 2007-04-26 09:21:34 72,624 ----a-w C:\WINDOWS\system32\drivers\khips.sys
    + 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
    + 2003-03-18 20:12:12 1,047,552 ----a-w C:\WINDOWS\system32\mfc71u.dll
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RegClean Expert Scheduler"="C:\Program Files\Registry Clean Expert\RCScheduler.exe" [2004-01-01 20:57]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
    "SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
    "eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 14:00 C:\WINDOWS\system32\rundll32.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05]
    "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 03:14]
    "AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-04-26 16:40]
    "AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2004-04-08 04:25]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-11-24 07:08]
    "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" []
    "HdReg"="C:\APPS\HDREG\HDREGAPP.exe" [2004-08-09 18:45]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" []
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-11-24 07:03]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-25 13:14]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00]

    C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
    setings.exe [2007-11-22 21:22:01]

    [hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

    R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
    R1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys
    R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
    R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"
    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

    .
    **************************************************************************

    catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-25 14:12:34
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-25 14:13:55
    C:\ComboFix2.txt ... 2007-11-25 01:23
    .
    --- E O F ---

    Pour l'étape 3 et 4 le site de virustotal marche mais Antivar bloque l'envoi et me recommande de metter en quarantaine le fichier :
    C:\WINDOWS\system32\msanton.exe

    Que doit je faire ?

    Merci d'avance

    @+
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    fais un scan complet de l'ordi avec Antivir et poste le rapport.

    Remets aussi un rapport hijackthis.
    0
  11. nev49
     
    Ah OK voilà :

    1/ Rapport antivar :

    AntiVir PersonalEdition Classic
    Report file date: dimanche 25 novembre 2007 15:59

    Scanning for 941284 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Username: SYSTEM
    Computer name: SN103340690006

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 12:14:37
    ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 12:14:37
    ANTIVIR2.VDF : 7.0.1.0 1393152 Bytes 23/11/2007 12:14:38
    ANTIVIR3.VDF : 7.0.1.4 11776 Bytes 23/11/2007 12:14:38
    AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 25/11/2007 12:14:38
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: C:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: dimanche 25 novembre 2007 15:59

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'realplay.exe' - '1' Module(s) have been scanned
    Scan process 'iexplore.exe' - '1' Module(s) have been scanned
    Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
    Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
    Scan process 'emule.exe' - '1' Module(s) have been scanned
    Scan process 'SUPERAntiSpyware.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'RCScheduler.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
    Scan process 'qttask.exe' - '1' Module(s) have been scanned
    Scan process 'slserv.exe' - '1' Module(s) have been scanned
    Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
    Scan process 'realsched.exe' - '1' Module(s) have been scanned
    Scan process 'AOLDial.exe' - '1' Module(s) have been scanned
    Scan process 'AOLAgent.exe' - '1' Module(s) have been scanned
    Scan process 'PCMService.exe' - '1' Module(s) have been scanned
    Scan process 'jusched.exe' - '1' Module(s) have been scanned
    Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    38 processes with 38 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '26' files ).

    Starting the file scan:

    Begin scan in 'C:\' <HDD>
    C:\hiberfil.sys
    [WARNING] The file could not be opened!
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\setings.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '47bd93de.qua'!
    C:\Program Files\Trend Micro\HijackThis\backups\backup-20071125-011043-385-setings.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '47aca131.qua'!
    C:\Program Files\Trend Micro\HijackThis\backups\backup-20071125-011043-964-startup.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '47aca137.qua'!
    C:\qoobox\Quarantine\catchme2007-11-25_ 12037.09.zip
    [0] Archive type: ZIP
    --> kprof
    [DETECTION] Is the Trojan horse TR/Proxy.Wopla.AG.4
    --> koos.exe
    [DETECTION] Is the Trojan horse TR/Proxy.Wopla.AG.7
    --> poof
    [DETECTION] Contains detection pattern of the rootkit RKIT/Agent.EZ
    [INFO] The file was moved to '47bda23c.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\xlavba6.exe.vir
    [DETECTION] Is the Trojan horse TR/Dldr.Wixud.H
    [INFO] The file was moved to '47aaa24b.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\koos.exe.vir
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [INFO] The file was moved to '47b8a251.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\kprof.vir
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [INFO] The file was moved to '47bba255.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\poof.vir
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [INFO] The file was moved to '47b8a256.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP199\A0137931.exe
    [DETECTION] Is the Trojan horse TR/Dropper.Gen
    [INFO] The file was moved to '477aa237.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP200\A0137959.exe
    [DETECTION] Is the Trojan horse TR/Dropper.Gen
    [INFO] The file was moved to '477aa23a.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138315.exe
    [DETECTION] Is the Trojan horse TR/Peed.JZ.73
    [INFO] The file was moved to '477aa246.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138319.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa249.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138320.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa24b.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138321.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa24d.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138336.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa24f.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138337.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa251.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138338.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa253.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP208\A0145475.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [INFO] The file was moved to '477aa25c.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP210\A0147531.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [INFO] The file was moved to '477aa260.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152536.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa265.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152537.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa268.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152541.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa269.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152542.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa26c.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152543.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa26e.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152544.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa26f.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152546.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa272.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152547.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa27a.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152550.exe
    [DETECTION] Is the Trojan horse TR/Zlob.34304.C
    [INFO] The file was moved to '477aa27d.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152551.dll
    [DETECTION] Is the Trojan horse TR/Drop.Zlob.aab.2
    [INFO] The file was moved to '477aa27f.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152554.dll
    [DETECTION] Is the Trojan horse TR/Zlob.14336.3
    [INFO] The file was moved to '477aa284.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152555.exe
    [DETECTION] Is the Trojan horse TR/Zlob.8704.1
    [INFO] The file was moved to '477aa285.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152556.exe
    [DETECTION] Is the Trojan horse TR/Zlob.8704.1
    [INFO] The file was moved to '477aa287.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP214\A0155565.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa28b.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP214\A0155566.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa294.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP214\A0155567.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa29d.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP215\A0156578.exe
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [INFO] The file was moved to '477aa2a1.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP216\A0157619.sys
    [DETECTION] Contains detection pattern of the worm WORM/Nuwar.Y
    [INFO] The file was moved to '477aa2a4.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP216\A0157620.exe
    [DETECTION] Contains detection pattern of the worm WORM/Zhelatin.Gen
    [INFO] The file was moved to '477aa2a6.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP216\A0157621.dll
    [DETECTION] Is the Trojan horse TR/Dldr.FakeAlert.E
    [INFO] The file was moved to '477aa2a8.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP216\A0157623.exe
    [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.cpv Backdoor server programs
    [INFO] The file was moved to '477aa2aa.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP220\A0159877.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa2ba.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP220\A0161898.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa2be.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP220\A0161910.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa2c0.qua'!
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP220\A0161911.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '477aa2c4.qua'!
    C:\WINDOWS\xlravcrx.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [INFO] The file was moved to '47bba309.qua'!
    C:\WINDOWS\system32\timoty.exe
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '47b6a5ba.qua'!
    C:\WINDOWS\system32\drivers\atapi.sys
    [WARNING] The file could not be opened!

    End of the scan: dimanche 25 novembre 2007 17:40
    Used time: 1:41:07 min

    The scan has been done completely.

    7297 Scanning directories
    441273 Files were scanned
    48 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    46 files were moved to quarantine
    0 files were renamed
    3 Files cannot be scanned
    441225 Files not concerned
    7349 Archives were scanned
    3 Warnings
    0 Notes

    2 / Rapport hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:18:24, on 25/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Registry Clean Expert\RCScheduler.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\eMule\emule.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    on en saura beaucoup plus avec ça :

    redmarre l'ordi,

    poste un nouveau rapport de combofix et un nouveau rapport de Hijackthis.
    0
  13. nev49
     
    Combofix :

    ComboFix 07-11-19.3 - vv 2007-11-25 20:25:43.4 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.212 [GMT 1:00]
    Running from: C:\Documents and Settings\vv\Bureau\ComboFix.exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-25 13:21 <REP> d-------- C:\Program Files\Sunbelt Software
    2007-11-25 13:07 <REP> d-------- C:\Program Files\Avira
    2007-11-25 12:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-11-25 01:28 <REP> d-------- C:\Program Files\SUPERAntiSpyware
    2007-11-25 01:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-11-25 01:28 <REP> d-------- C:\Documents and Settings\vv\Application Data\SUPERAntiSpyware.com
    2007-11-25 01:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
    2007-11-25 00:50 <REP> d-------- C:\VundoFix Backups
    2007-11-24 22:36 <REP> d-------- C:\Program Files\Trend Micro
    2007-11-24 22:14 <REP> d-------- C:\Program Files\Navilog1
    2007-11-22 21:39 6,058,496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
    2007-11-22 21:39 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
    2007-11-22 21:39 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
    2007-11-22 21:39 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
    2007-11-22 21:39 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2007-11-22 21:39 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
    2007-11-22 21:39 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
    2007-11-22 21:39 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
    2007-11-22 21:39 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
    2007-11-22 21:38 <REP> d-------- C:\WINDOWS\system32\fr-fr
    2007-11-22 21:34 33,792 --a------ C:\WINDOWS\system32\dllcache\custsat.dll
    2007-11-21 21:41 2,378 --a------ C:\WINDOWS\system32\tmp.reg
    2007-11-21 21:41 0 --a------ C:\WINDOWS\system32\tmp.txt
    2007-11-21 21:18 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
    2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver
    2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
    2007-11-13 19:43 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2007-11-13 19:43 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
    2007-11-13 13:40 289,280 --a------ C:\WINDOWS\system32\libcurl.dll
    2007-11-10 15:33 <REP> d-------- C:\Program Files\EA GAMES
    2007-11-02 18:34 <REP> d-------- C:\Program Files\Monte Cristo

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-25 19:22 --------- d-----w C:\Program Files\eMule
    2007-11-24 18:50 --------- d-----w C:\Program Files\Warcraft III
    2007-11-24 18:47 --------- d-----w C:\Program Files\Tropico
    2007-11-24 18:43 --------- d-----w C:\Program Files\Registry Clean Expert
    2007-11-24 18:43 --------- d-----w C:\Program Files\QuickTime
    2007-11-24 18:41 --------- d-----w C:\Program Files\Microsoft Works
    2007-11-24 18:32 --------- d-----w C:\Program Files\Micro Flight
    2007-11-24 18:32 --------- d-----w C:\Program Files\MegaWorld
    2007-11-24 18:32 --------- d-----w C:\Program Files\jv16 PowerTools
    2007-11-24 18:31 --------- d-----w C:\Program Files\IZArc
    2007-11-24 18:31 --------- d-----w C:\Program Files\IndustryGiant 2
    2007-11-24 18:31 --------- d-----w C:\Program Files\Google
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolshare
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolback
    2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\AOL
    2007-11-24 18:03 --------- d-----w C:\Program Files\Dynamic Toolbar
    2007-11-24 18:03 --------- d-----w C:\Program Files\DivX
    2007-11-24 18:03 --------- d-----w C:\Program Files\Cossacks
    2007-11-24 17:58 --------- d-----w C:\Program Files\CCleaner
    2007-11-24 17:58 --------- d-----w C:\Program Files\AOL Compagnon
    2007-11-24 17:58 --------- d-----w C:\Program Files\AOL 9.0a
    2007-11-24 17:56 --------- d-----w C:\Program Files\ANNO 1602 Version Gold
    2007-11-10 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-11-10 12:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared
    2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
    2007-10-23 21:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-10-21 20:51 --------- d-----w C:\Program Files\JLC's Software
    2007-10-21 20:51 --------- d-----w C:\Documents and Settings\vv\Application Data\JLC's Software
    2007-10-21 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
    2007-10-21 12:36 --------- d-----w C:\Program Files\Yahoo!
    2007-10-01 19:11 --------- d-----w C:\Program Files\Neuf
    2007-02-18 12:08 788,064 ----a-w C:\Program Files\Norton_Removal_Tool.exe
    2005-04-17 16:51 7,741,352 ----a-w C:\Program Files\DivX521XP2K.exe
    2005-04-17 16:51 56 --sh--r C:\WINDOWS\system32\CA540B7CD3.sys
    2005-09-25 16:39 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((( snapshot@2007-11-25_ 1.22.43.41 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\ARPPRODUCTICON.exe
    + 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut1_E659E0EE10E649B7869660F38D0EB174.exe
    + 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut2_8315396A5EA1419DBEC4978284BDF556.exe
    + 2007-11-25 00:28:40 29,696 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF11.exe
    + 2007-11-25 00:28:40 18,944 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
    + 2007-11-25 00:28:40 65,024 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
    + 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
    + 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
    + 2007-11-25 12:14:39 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
    + 2007-04-26 09:21:30 302,000 ----a-w C:\WINDOWS\system32\drivers\fwdrv.sys
    + 2007-04-26 09:21:34 72,624 ----a-w C:\WINDOWS\system32\drivers\khips.sys
    + 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
    + 2003-03-18 20:12:12 1,047,552 ----a-w C:\WINDOWS\system32\mfc71u.dll
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RegClean Expert Scheduler"="C:\Program Files\Registry Clean Expert\RCScheduler.exe" [2004-01-01 20:57]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
    "SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
    "eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 14:00 C:\WINDOWS\system32\rundll32.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05]
    "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 03:14]
    "AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-04-26 16:40]
    "AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2004-04-08 04:25]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-11-24 07:08]
    "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" []
    "HdReg"="C:\APPS\HDREG\HDREGAPP.exe" [2004-08-09 18:45]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" []
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-11-24 07:03]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-25 13:14]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00]

    [hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

    R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
    R1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys
    R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
    R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"
    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

    .
    **************************************************************************

    catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-25 20:30:56
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-25 20:32:17
    C:\ComboFix2.txt ... 2007-11-25 14:13
    C:\ComboFix3.txt ... 2007-11-25 01:23
    .

    --- E O F ---

    Hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:47:01, on 25/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Registry Clean Expert\RCScheduler.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    C:\Program Files\eMule\emule.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    oui, ça va beaucoup mieux. mais l'ordi avait été très infecté. D'où toutes les précautions que je prends.

    Tu as JV16. Double clique sur l'icône créée sur le bureau (ou sur l'exe du programme si tu n'as pas cré de raccourci),

    Clique sur outil registre,

    Clique sur outils puis nettoyeur de registre.

    Clique sur continuer puis démarrer.

    A la fin du scan, clique sur sélectionner, choisis sélection spéciale, éléments qui peuvent être supprimmés sans risques.

    Clique sur supprimer (en bas à droite)

    Clique sur fermer autant de fois que nécessaire pour quitter Jv16.

    Vide la quarantaine d'antivir.

    Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

    http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

    Clique sur Recherche et laisse le scan se terminer.

    Clique, sur Suppression pour finaliser.

    Tu peux, si tu le souhaites, te servir des Options facultatives.

    Clique sur Quitter, pour que le rapport puisse se créer.

    Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
    Vide ta corbeille.

    Prends un point de restauration propre : ouvre ce tuto :

    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

    Dans un premier temps tu désactives la restauration. Dans un second, tu la réactives.
    0