Bonjour, Mon ordianateur est très lent depuis qq temps et j'ai des messages d'erreur. J'ai fait tourner AVAST qui m'a decouvert des "cheval de Troie" . Le premier: Win32 : SdBot-4145 [Trj] Et le second : Win32: Rbot-FFU [trj] Il m'avait aussi trouvé cela il y aa qq heures: Backdorr.Rbot.feg Pour SdBot-4145 [Trj] (qui était dans temporary internet files\...), j'ai fait "quarantaine" et qq minutes après j'ai eu le m^me mais situé ailleurs (dans C\sxheOst.exe\[Modebox] Est-ce que qq peux m'aider? je suis perdu... merci pour votre aide, marie

SdBOT Help please

Réponse 21 / 34

Mariej2005

salut le Sioux,

l'ordi a l'air un peu moins lent, mais antivir me fait toujours des alertes, il trouve dans C:\doc&settings\...\ade[1].exe et ensuite dans C:\cp.exe, toujours le meme truc: TR\Crypt.U.Gen.

Sinon, j'ai tout fait comme tu as dit

Pour le 2/ : suppression des services malveillant, ca a marché a priori sauf pour ceux entre guillemets , il ne les a pas trouvé…

Pour les autres étapes, voici les scan :

d'abord les 2 scan virustotal:

APEKL.exe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.22.10 2007.12.21 Win-Trojan/Sinowal.81984.B
AntiVir 7.6.0.46 2007.12.22 TR/PWS.Sinowal.Gen
Authentium 4.93.8 2007.12.21 -
Avast 4.7.1098.0 2007.12.21 -
AVG 7.5.0.503 2007.12.21 PSW.Sinowal.A
BitDefender 7.2 2007.12.22 -
CAT-QuickHeal 9.00 2007.12.22 Trojan.Pakes.buf
ClamAV 0.91.2 2007.12.22 -
DrWeb 4.44.0.09170 2007.12.21 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5395 2007.12.21 Win32/VMalum.BTKE
Ewido 4.0 2007.12.22 -
FileAdvisor 1 2007.12.22 -
Fortinet 3.14.0.0 2007.12.22 -
F-Prot 4.4.2.54 2007.12.21 W32/Trojan2.MEW
F-Secure 6.70.13030.0 2007.12.21 Trojan.Win32.Pakes.buf
Ikarus T3.1.1.15 2007.12.22 Trojan.Win32.Pakes.buf
Kaspersky 7.0.0.125 2007.12.22 Trojan.Win32.Pakes.buf
McAfee 5191 2007.12.21 -
Microsoft 1.3109 2007.12.22 -
NOD32v2 2740 2007.12.21 -
Norman 5.80.02 2007.12.21 W32/Sinowal.ALH
Panda 9.0.0.4 2007.12.22 Suspicious file
Prevx1 V2 2007.12.22 -
Rising 20.23.51.00 2007.12.22 -
Sophos 4.24.0 2007.12.22 Mal/Sinowa-A
Sunbelt 2.2.907.0 2007.12.21 BigBlue
Symantec 10 2007.12.22 Trojan.Anserin
TheHacker 6.2.9.167 2007.12.21 Trojan/Pakes.buf
VBA32 3.12.2.5 2007.12.21 -
VirusBuster 4.3.26:9 2007.12.21 -
Webwasher-Gateway 6.6.2 2007.12.22 Trojan.PWS.Sinowal.Gen
Information additionnelle
File size: 81984 bytes
MD5: d1c4458dac6ab5127393c23aa6cf1923
SHA1: 0122cf3583d6abe0753d3d77daaf33e3a7abfd6f
PEiD: -
Sunbelt info: BigBlue is keystroke logger that captures sensitive information on the infected computer and records it in a log.

LO.exe:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.22.10 2007.12.21 -
AntiVir 7.6.0.46 2007.12.22 TR/Dropper.Gen
Authentium 4.93.8 2007.12.21 -
Avast 4.7.1098.0 2007.12.21 -
AVG 7.5.0.503 2007.12.21 -
BitDefender 7.2 2007.12.22 -
CAT-QuickHeal 9.00 2007.12.22 -
ClamAV 0.91.2 2007.12.22 -
DrWeb 4.44.0.09170 2007.12.21 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5395 2007.12.21 -
Ewido 4.0 2007.12.22 -
FileAdvisor 1 2007.12.22 -
Fortinet 3.14.0.0 2007.12.22 -
F-Prot 4.4.2.54 2007.12.21 -
F-Secure 6.70.13030.0 2007.12.21 Trojan.Win32.Pakes.buy
Ikarus T3.1.1.15 2007.12.22 Trojan.Win32.Pakes.buy
Kaspersky 7.0.0.125 2007.12.22 Trojan.Win32.Pakes.buy
McAfee 5191 2007.12.21 -
Microsoft 1.3109 2007.12.22 VirTool:Win32/CeeInject.gen!A
NOD32v2 2740 2007.12.21 a variant of Win32/Injector.G
Norman 5.80.02 2007.12.21 -
Panda 9.0.0.4 2007.12.22 -
Prevx1 V2 2007.12.22 -
Rising 20.23.51.00 2007.12.22 Backdoor.Win32.SdBot.qqc
Sophos 4.24.0 2007.12.22 Mal/Behav-169
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.22 -
TheHacker 6.2.9.167 2007.12.21 -
VBA32 3.12.2.5 2007.12.21 -
VirusBuster 4.3.26:9 2007.12.21 -
Webwasher-Gateway 6.6.2 2007.12.22 Trojan.Dropper.Gen
Information additionnelle
File size: 56320 bytes
MD5: 07dfbcbebaee27d35a417a192fd6a819
SHA1: 02f889f2f8ca4910a122ef2f7da559f07cb376c7
PEiD: -

VOICI LE RAPPORT DE COMBOFIX:

ComboFix 07-12-19.2 - Guillaume 2007-12-22 14:04:52.2 - NTFSx86

Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Guillaume\My Documents\Télécharger\Report Scan\CFScript.txt
.

((((((((((((((((((((((((( Files Created from 2007-11-22 to 2007-12-22 )))))))))))))))))))))))))))))))
.

2007-12-21 21:41 . 2007-12-21 21:41 57 --a------ C:\WINDOWS\system32\x
2007-12-21 21:29 . 2007-12-21 21:29 0 --a------ C:\WINDOWS\system32\Tilecomgm.com
2007-12-19 22:09 . 2007-12-21 23:19 1,944 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-19 21:33 . 2007-12-19 21:33 56,320 ---hs---- C:\lo.exe
2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-19 00:16 . 2007-12-19 00:16 303,104 --a------ C:\WINDOWS\system32\lfzqva.exe.ren
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-17 00:43 . 2007-12-17 00:48 81,984 --a------ C:\apekl.exe
2007-12-11 07:11 . 2007-12-17 00:49 2 --a------ C:\1683552049
2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
2007-12-04 21:42 . 2007-12-04 21:42 29 --a------ C:\WINDOWS\system32\gofuteid.tmp
2007-12-04 21:40 . 2007-12-04 21:38 162,304 ---hsc--- C:\WINDOWS\system32\dllcache\msfav32.exe
2007-12-04 21:31 . 2007-12-04 21:31 29 --a------ C:\WINDOWS\system32\wtpwsgrs.tmp
2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2007-10-22 18:47 25,212 ----a-w C:\WINDOWS\system32\hderjsw.exe
.

((((((((((((((((((((((((((((( snapshot@2007-12-19_22.58.33.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2007-12-21 20:41:05 127,217 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
+ 2007-12-20 20:53:28 105,472 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
- 2007-12-19 20:33:06 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-21 20:41:00 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-19 21:53:34 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
+ 2007-12-22 13:04:43 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2007-01-06 17:23:03 135,664 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-12-20 20:48:09 115,768 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]
"Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" []

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-22 14:06:28
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-22 14:07:18
C:\ComboFix2.txt ... 2007-12-19 23:00

Et le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:11:22, on 22/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllcache\msfav32.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1844237615-1383384898-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe

Réponse 22 / 34

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Re

Yes, on va y arriver, t inquietes pas ;)

par contre si tu as d autres alertes notes le chemin exact s il te plait et le nom ou sinon, je t enverrais voir dans les rapports d antivir.

1) Suppression d'un service malveillant

« Démarrer » / « Exécuter» / puis tape

sc stop "WindowsInternet Connection Sharing" valide par ok.

« Démarrer » / « Exécuter» / puis tape

sc delete "WindowsInternet Connection Sharing" valide par ok.

2) ComboFix avec CFScript :

* Sélectionne le texte suivant (en gras) dans son intégralité :

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsInternet Connection Sharing]

File::
C:\cp.exe
C:\apekl.exe
C:\lo.exe
C:\WINDOWS\system32\dllcache\msfav32.exe
C:\WINDOWS\system32\lfzqva.exe.ren
C:\1683552049
C:\WINDOWS\system32\gofuteid.tmp
C:\WINDOWS\system32\wtpwsgrs.tmp
C:\WINDOWS\system32\hderjsw.exe
C:\WINDOWS\System32\dllcache\sxch0st.exe
C:\WINDOWS\system\msnmsgr32.exe
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\system\load.exe

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt)

et un nouveau rapport Hijackthis stp.

@ suivre

Réponse 23 / 34

Mariej2005

re re,

l'ordi va plus vite. J'ai toujours les alertes, j'ai noté les chemins (je les mets a la fin du post)

sinon, voici les scan

ComboFix 07-12-19.2 - Guillaume 2007-12-22 15:01:42.3 - NTFSx86

Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Guillaume\My Documents\Télécharger\combofix\CFScript.txt

FILE
C:\1683552049
C:\apekl.exe
C:\cp.exe
C:\lo.exe
C:\WINDOWS\system\load.exe
C:\WINDOWS\system\msnmsgr32.exe
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\system32\dllcache\msfav32.exe
C:\WINDOWS\System32\dllcache\sxch0st.exe
C:\WINDOWS\system32\gofuteid.tmp
C:\WINDOWS\system32\hderjsw.exe
C:\WINDOWS\system32\lfzqva.exe.ren
C:\WINDOWS\system32\wtpwsgrs.tmp
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\1683552049
C:\lo.exe
C:\Program Files\Helper
C:\Program Files\Helper\superfinderusa.dll
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\system32\dllcache\msfav32.exe
C:\WINDOWS\system32\gofuteid.tmp
C:\WINDOWS\system32\hderjsw.exe
C:\WINDOWS\system32\koos.exe
C:\WINDOWS\system32\kprof
C:\WINDOWS\system32\lfzqva.exe.ren
C:\WINDOWS\system32\poof
C:\WINDOWS\system32\wtpwsgrs.tmp
C:\WINDOWS\system32\xpdx.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_KPROF
-------\LEGACY_LDRSVC
-------\LEGACY_POOF
-------\ldrsvc

((((((((((((((((((((((((( Files Created from 2007-11-22 to 2007-12-22 )))))))))))))))))))))))))))))))
.

2007-12-22 14:57 . 2007-12-22 14:57 72,192 --a------ C:\bot.exe
2007-12-22 14:57 . 2007-12-22 14:57 66,560 --a------ C:\gfifrww.exe
2007-12-22 14:57 . 2007-12-22 14:57 57,856 --a------ C:\actgm.exe
2007-12-21 21:41 . 2007-12-21 21:41 57 --a------ C:\WINDOWS\system32\x
2007-12-21 21:29 . 2007-12-21 21:29 0 --a------ C:\WINDOWS\system32\Tilecomgm.com
2007-12-19 22:09 . 2007-12-21 23:19 1,944 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
.

((((((((((((((((((((((((((((( snapshot@2007-12-19_22.58.33.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2007-12-21 20:41:05 127,217 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
+ 2007-12-20 20:53:28 105,472 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
- 2007-12-19 20:33:06 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-21 20:41:00 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-19 21:53:34 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
+ 2007-12-22 13:04:43 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2007-01-06 17:23:03 135,664 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-12-20 20:48:09 115,768 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]
"Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" []

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-22 15:06:07
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-12-22 15:08:29 - machine was rebooted [Guillaume]
C:\ComboFix2.txt ... 2007-12-22 14:07
C:\ComboFix3.txt ... 2007-12-19 23:00

------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:48, on 22/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe (file missing)

Réponse 24 / 34

mariej2005

j'en ai eu une autre (antivir) :
virus : W32/Sality.Q
Dans: C:\Windows\system32\fenfjae.exe

et ensuite j'ai eu un pop-up qui m' adit que mon ordi allait "shuting down " dans 49 sec...et je ne pouvais rien faire...
j'ai l'impression que qd on arrive a corriger qqchose , autre chose arrive

Réponse 25 / 34

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonsoir Marie

Je vois ce que l on peut faire ensemble tout a l heure.

@ +

Réponse 26 / 34

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonjour Marie

1) Suppression d'un service malveillant

« Démarrer » / « Exécuter» / puis tape

sc stop "Windows Internet Connection Sharing" valide par ok.

« Démarrer » / « Exécuter» / puis tape

sc delete "Windows Internet Connection Sharing" valide par ok.

2) ComboFix avec CFScript :

Supprime les autres scripts qui se trouvent sur ton Bureau puis

* Sélectionne le texte suivant (en gras) dans son intégralité :

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Driver"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Connection Sharing]

File::
C:\bot.exe
C:\gfifrww.exe
C:\actgm.exe
C:\WINDOWS\system32\x
C:\WINDOWS\system32\Tilecomgm.com
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe

Folder::
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt)

et un nouveau rapport Hijackthis stp.

@ suivre

Réponse 27 / 34

mariej2005

bonjour,

voici le report de combofix:

ComboFix 07-12-19.2 - Guillaume 2007-12-23 9:58:13.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1033.18.109 [GMT 1:00]
Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Guillaume\Desktop\CFScript.txt
* Created a new restore point

FILE
C:\actgm.exe
C:\bot.exe
C:\gfifrww.exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary
C:\WINDOWS\system32\Tilecomgm.com
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\x
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\actgm.exe
C:\bot.exe
C:\check_LSA7.txt
C:\gfifrww.exe
C:\WINDOWS\system32\orutv.bak1
C:\WINDOWS\system32\orutv.ini
C:\WINDOWS\system32\Tilecomgm.com
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\vturo.dll
C:\WINDOWS\system32\wvuvsrq.dll
C:\WINDOWS\system32\x

.
((((((((((((((((((((((((( Files Created from 2007-11-23 to 2007-12-23 )))))))))))))))))))))))))))))))
.

2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
.

((((((((((((((((((((((((((((( snapshot@2007-12-19_22.58.33.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2007-12-21 20:41:05 127,217 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
+ 2007-12-20 20:53:28 105,472 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
- 2007-12-19 20:33:06 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-21 20:41:00 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-19 21:53:34 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
+ 2007-12-23 08:57:59 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2007-01-06 17:23:03 135,664 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-12-20 20:48:09 115,768 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\System32\drivers\A311.sys [2003-03-13 18:13]
R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\System32\drivers\A310.sys [2003-03-13 18:13]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;C:\WINDOWS\System32\DRIVERS\DP83815.SYS [2003-02-13 15:29]
S2 isa32;isa32;C:\WINDOWS\System32\drivers\isa32.sys []
S3 FA312;NETGEAR FA330/FA312/FA311 Fast Ethernet Adapter Driver;C:\WINDOWS\System32\DRIVERS\FA312nd5.sys [2001-08-17 13:12]

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-23 10:04:05
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-23 10:06:47 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-22 15:08
C:\ComboFix3.txt ... 2007-12-22 14:07

et celui de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:44, on 23/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Réponse 28 / 34

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Re

* Que fais tu quand tu a ces alertes , --> delete ou quarantine ?

1) ComboFix avec CFScript :

* Sélectionne le texte suivant (en gras) dans son intégralité :

Driver ::
isa32

File::
C:\WINDOWS\System32\drivers\isa32.sys

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

2) OTMoveIt (de Old_Timer)

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression.
si c'est le cas accepte par Yes.

3) Rapports :

--> Poste en réponse :

* Le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

* Le rapport de ComboFix (qui se trouve ici > C:\ComboFix.txt) ainsi qu'un nouveau rapport HijackThis.

@ suivre.

Réponse 29 / 34

mjlat2005

Salut, je fais souvent « delete » mais parfois quarantaine…il vaut mieux que je fasse quoi ??

Sinon, voici les rapports :

ComboFix 07-12-19.2 - Guillaume 2007-12-23 21:09:24.5 - NTFSx86
Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Guillaume\Desktop\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\System32\drivers\isa32.sys
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\csrs.exe

.
((((((((((((((((((((((((( Files Created from 2007-11-23 to 2007-12-23 )))))))))))))))))))))))))))))))
.

2007-12-23 21:09 . 2007-12-23 21:09 121 --a------ C:\WINDOWS\system32\phzmm.bat
2007-12-23 21:07 . 2007-12-23 21:07 398,336 -r-hsc--- C:\WINDOWS\system32\dllcache\mravsc32.exe
2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
.

((((((((((((((((((((((((((((( snapshot@2007-12-19_22.58.33.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-12-23 20:08:35 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2007-12-23 20:08:35 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2007-12-21 20:41:05 127,217 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
+ 2007-12-20 20:53:28 105,472 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
- 2007-12-19 20:33:06 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-23 20:08:35 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-19 21:53:34 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
+ 2007-12-23 08:57:59 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2007-01-06 17:23:03 135,664 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-12-20 20:48:09 115,768 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R2 Distributed Allocated Memory Unit;Distributed Allocated Memory Unit;"C:\WINDOWS\system32\dllcache\mravsc32.exe" [2007-12-23 21:07]
R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\System32\drivers\A311.sys [2003-03-13 18:13]
R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\System32\drivers\A310.sys [2003-03-13 18:13]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;C:\WINDOWS\System32\DRIVERS\DP83815.SYS [2003-02-13 15:29]
S2 isa32;isa32;C:\WINDOWS\System32\drivers\isa32.sys []
S2 MSN RAV;MSN RAV;"C:\WINDOWS\system\msnrav.exe" []
S3 FA312;NETGEAR FA330/FA312/FA311 Fast Ethernet Adapter Driver;C:\WINDOWS\System32\DRIVERS\FA312nd5.sys [2001-08-17 13:12]

*Newly Created Service* - DISTRIBUTED_ALLOCATED_MEMORY_UNIT
*Newly Created Service* - MSN_RAV
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-23 21:11:26
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-23 21:12:09
C:\ComboFix2.txt ... 2007-12-23 10:06
C:\ComboFix3.txt ... 2007-12-22 15:08

Et OTMoveIT

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1 moved successfully.

Created on 12/23/2007 21:13:43

Merci merci

Marie

Réponse 30 / 34

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonsoir Marie

Que donne lePC ? y a til un mieux ?

Delete c est tres bien,quarantine aussi mais il faudra penser a vider cette quarantaine ;) je te dirais comment faire si besoin.

@ +

Réponse 31 / 34

mariej2005

bonjour,

oui il va bcp mieux,merci bcp !!
mais parfois il se met à ralentir...et aussi, toujours bcp d'alertes...
j'ai eu ressement: PWS.Sinowal.gen et aussi Crypt.XPACK.Gen et Crypt.U.gen

je vais essayer de voir sur le forum si je vois des anti trojan qui enlevent ca...

Tu sais ce que je peux essayer?

merci

Réponse 32 / 34

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonjour Marie et joyeux Noël

On va essayer autre chose

Navilog d'Il Mafioso option1

Télécharge Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau .

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche le bloc note va s'ouvrir.

Copie-colle l'intégralité du rapport dans une réponse.
Referme le bloc note
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

@ +

Réponse 33 / 34

mariej2005

Bonjour,
Joyeux Noel également !

vioci le rapport:

Search Navipromo version 3.3.8 commencé le 26/12/2007 à 11:40:54,52

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Guillaume\application data" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Guillaume\local settings\application data" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\Guillaume\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

*** Analyse terminée le 26/12/2007 à 11:42:49,97 ***

Merci
Marie

Réponse 34 / 34

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonsoir Marie

1) Supprime Navilog1 du PC

- Via Démarrer / Paramètres / Panneau de config puis Ajout/suppression des programmes , navigue jusqu'a Navilog1 puis clique sur "Supprimer"

Supprime également le dossier C:\programfiles\Navilog1 puis vide ta poubelle.

2) Fais un scan en ligne chez Panda :

* Tuto en image https://forum.pcastuces.com/sujet.asp?f=25&s=3902#haut à la lettre T

* Fais un scan antivirus en ligne Panda (avec Internet Explorer. Désactive ton antivirus pendant le scan)
ici --> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan

Et copie colle le résultat ici

@ +

SdBOT Help please

34 réponses

Votre réponse

Newsletters