Virus "Nettoyeur de PC" !!!!

Yesbutno Messages postés 21 Statut Membre -  
noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
J'ai depuis hier soir une page qui s'affiche tout le temps, à propos du nettoyeur de pc. Le fond d'écran de mon bureau a été remplacé par une image rouge me disant "Your privacy is in danger". Mon gestionnaire des tâches a été désactivé, ce qui fait que je ne peux même pas tenter d'arrêter le processus s'il y en a un.
J'ai vu que ce sujet avait été posté par plusieurs autres personnes, mais comme à chaque fois dans les réponses il faut poster des rapports, je crée mon topic, ça sera plus simple...

Est-ce que vous pourriez m'aider ?

Merci beaucoup d'avance

Yesbut
Configuration: IMB T42 sous Windows XP
Firefox 2.0.0.11

34 réponses

  • 1
  • 2
  1. Yesbutno Messages postés 21 Statut Membre
     
    J'ai installé Navilog comme indiqué sur les autres sujets, et j'ai lancé la recherche, je vous poste le rapport dès que c'est fini.
    0
  2. Kokliko Messages postés 4433 Statut Contributeur 749
     
    Bonjour,

    Je te contacte juste pour te dire que j'ai entendu parler de cela sur le site 01.net/telecharger.com.
    Je vais essayer de retrouver l'article et de te donner le lien qui te permettra d'y acceder pour voir la démarche à adopter car, si ma mémoire est bonne, il s'agit d'un vilain petit canard qui te fiche le souk dans la machine et t'empêche même d'accéder à tes dossiers et autres fichiers.

    A+
    0
  3. Kokliko Messages postés 4433 Statut Contributeur 749
     
    Re,

    Je te mets un sur des articles qui sont susceptibles d'être intéressants pour ton problème.

    http://www.01net.com/rubrique/3373.html

    J'espère que tu trouveras un élément de réponse dedans.

    A+
    0
  4. Yesbutno Messages postés 21 Statut Membre
     
    Merci je vais aller voir,
    En attendant, je poste le premier rapport de Navilog, en attendant l'avis des experts de ce forum pour savoir si je continue ou pas (il est bien expressément indiqué de ne pas continuer le truc numéro 2 sans avoir l'avis de gens qui s'y connaissent)

    Search Navipromo version 3.3.8 commencé le 29/12/2007 à 10:37:46,45

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    C:\Program Files\MessengerSkinner trouvé !

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\Valou\application data" ***

    ...\MessengerSkinner trouvé !

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\WINDOWS\system32\nxqgqa.dat
    C:\WINDOWS\system32\nxqgqa.exe
    C:\WINDOWS\system32\nxqgqa_nav.dat
    C:\WINDOWS\system32\nxqgqa_navps.dat

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    Fichiers trouvés :

    rxpubfqsw.exe trouvé !
    gianrga.exe trouvé !
    gianrga.dat trouvé !
    gianrga_nav.dat trouvé !
    gianrga_navps.dat trouvé !
    kjdcgse.exe trouvé !
    lllkbmcz.exe trouvé !
    lllkbmcz.dat trouvé !
    lllkbmcz_nav.dat trouvé !
    lllkbmcz_navps.dat trouvé !
    lpkwzjxz.exe trouvé !
    nwebwcs.exe trouvé !
    qasryqp.exe trouvé !
    qasryqp.dat trouvé !
    qasryqp_nav.dat trouvé !
    qasryqp_navps.dat trouvé !
    xmqiuijxp.exe trouvé !

    * Recherche dans "C:\Documents and Settings\Valou\local settings\application data" *

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    gianrga.dat trouvé !
    lllkbmcz.dat trouvé !
    nxqgqa.dat trouvé !
    qasryqp.dat trouvé !
    gianrga_nav.dat trouvé !
    lllkbmcz_nav.dat trouvé !
    nxqgqa_nav.dat trouvé !
    qasryqp_nav.dat trouvé !

    * Dans "C:\Documents and Settings\Valou\local settings\application data" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    4)Recherche fichiers connus :

    *** Analyse terminée le 29/12/2007 à 10:52:25,53 ***
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875
     
    salut

    belle collection !!

    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    puis

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
    http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

    a+
    0
  7. Yesbutno Messages postés 21 Statut Membre
     
    Merci beaucoup
    A vrai dire, c'est lordi de mon petit frère donc bon, lui question nettoyage et cochonneries.....

    J'ai terminé l'étape 2 avec navilog, je poste le rapport ou seulement celui que je vais avoir avec HijackThis ?
    0
  8. Yesbutno Messages postés 21 Statut Membre
     
    Je poste le rapport quand même, comme ça...

    Clean Navipromo version 3.3.8 commencé le 29/12/2007 à 11:33:04,00

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Mode suppression automatique

    *** Creation backups fichiers trouvés par Catchme ***

    Copie vers "C:\Program Files\navilog1\Backupnavi"

    Copie C:\WINDOWS\system32\nxqgqa.dat réalisée avec succès !
    Copie C:\WINDOWS\system32\nxqgqa.exe réalisée avec succès !
    Copie C:\WINDOWS\system32\nxqgqa_nav.dat réalisée avec succès !
    Copie C:\WINDOWS\system32\nxqgqa_navps.dat réalisée avec succès !

    *** Suppression des fichiers trouvés avec Catchme ***

    C:\WINDOWS\system32\nxqgqa.dat supprimé !
    C:\WINDOWS\system32\nxqgqa.exe supprimé !
    C:\WINDOWS\system32\nxqgqa_nav.dat supprimé !
    C:\WINDOWS\system32\nxqgqa_navps.dat supprimé !

    ** 2ème passage avec résultats Catchme **

    * Dans C:\WINDOWS\system32 *

    C:\WINDOWS\prefetch\nxqgqa*.pf trouvé !
    Copie C:\WINDOWS\prefetch\nxqgqa*.pf réalisée avec succès !
    C:\WINDOWS\prefetch\nxqgqa*.pf supprimé !

    * Dans "C:\Documents and Settings\Valou\local settings\application data" *

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans C:\WINDOWS\System32 *

    rxpubfqsw.exe trouvé !
    Copie rxpubfqsw.exe réalisée avec succès !
    rxpubfqsw.exe supprimé !

    gianrga.exe trouvé !
    Copie gianrga.exe réalisée avec succès !
    gianrga.exe supprimé !

    gianrga.dat trouvé !
    Copie gianrga.dat réalisée avec succès !
    gianrga.dat supprimé !

    gianrga_nav.dat trouvé !
    Copie gianrga_nav.dat réalisée avec succès !
    gianrga_nav.dat supprimé !

    gianrga_navps.dat trouvé !
    Copie gianrga_navps.dat réalisée avec succès !
    gianrga_navps.dat supprimé !

    kjdcgse.exe trouvé !
    Copie kjdcgse.exe réalisée avec succès !
    kjdcgse.exe supprimé !

    lllkbmcz.exe trouvé !
    Copie lllkbmcz.exe réalisée avec succès !
    lllkbmcz.exe supprimé !

    lllkbmcz.dat trouvé !
    Copie lllkbmcz.dat réalisée avec succès !
    lllkbmcz.dat supprimé !

    lllkbmcz_nav.dat trouvé !
    Copie lllkbmcz_nav.dat réalisée avec succès !
    lllkbmcz_nav.dat supprimé !

    lllkbmcz_navps.dat trouvé !
    Copie lllkbmcz_navps.dat réalisée avec succès !
    lllkbmcz_navps.dat supprimé !

    lpkwzjxz.exe trouvé !
    Copie lpkwzjxz.exe réalisée avec succès !
    lpkwzjxz.exe supprimé !

    nwebwcs.exe trouvé !
    Copie nwebwcs.exe réalisée avec succès !
    nwebwcs.exe supprimé !

    qasryqp.exe trouvé !
    Copie qasryqp.exe réalisée avec succès !
    qasryqp.exe supprimé !

    qasryqp.dat trouvé !
    Copie qasryqp.dat réalisée avec succès !
    qasryqp.dat supprimé !

    qasryqp_nav.dat trouvé !
    Copie qasryqp_nav.dat réalisée avec succès !
    qasryqp_nav.dat supprimé !

    qasryqp_navps.dat trouvé !
    Copie qasryqp_navps.dat réalisée avec succès !
    qasryqp_navps.dat supprimé !

    xmqiuijxp.exe trouvé !
    Copie xmqiuijxp.exe réalisée avec succès !
    xmqiuijxp.exe supprimé !

    * Suppression dans "C:\Documents and Settings\Valou\local settings\application data" *

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    C:\Program Files\MessengerSkinner ...suppression...
    C:\Program Files\MessengerSkinner supprimé !

    *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***

    *** Suppression dossiers dans "C:\Documents and Settings\Valou\application data" ***

    ...\MessengerSkinner ...suppression...
    ...\MessengerSkinner supprimé !

    *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***

    *** Suppression fichiers ***

    C:\WINDOWS\pack.epk supprimé !
    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Valou\local settings\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans C:\WINDOWS\system32 *

    * Dans "C:\Documents and Settings\Valou\local settings\application data" *

    *** Sauvegarde du Registre vers dossier Backupnavi ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !

    *** Nettoyage terminé le 29/12/2007 à 11:38:09,66 ***
    0
  9. Yesbutno Messages postés 21 Statut Membre
     
    Voilà le rapport d'Hijackthis :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:45:05, on 29/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\ibmpmsvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\S24EvMon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\tp4mon.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\Pando Networks\Pando\Pando.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\Program Files\IBM\Bluetooth Software\BTTray.exe
    C:\Program Files\Digital Line Detect\DLG.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.incredimail.com/page.asp?page=reg_success&lang=12&version=5653034&setup_id=12000007&aff_id=1&addon=IncrediMail
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: BDEX System - {0B1B0622-6874-4751-B866-87C5CA1B93B9} - C:\WINDOWS\blopenvwsd.dll
    O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O3 - Toolbar: The ddxbox - {18D19587-63A8-4D24-B79D-267E8A3AB0BF} - C:\WINDOWS\retnsrp.dll
    O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
    O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
    O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
    O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://yesbutland.spaces.live.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
    O21 - SSODL: leorop - {E638FE78-D354-466E-B342-6C9A92BA5E22} - (no file)
    O21 - SSODL: nopzet - {1AFD1998-D342-464B-9949-E02E6FFDB376} - C:\WINDOWS\nopzet.dll
    O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
    O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
    0
  10. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875
     
    il vaut mieux le rapport, ça permet de voir si tout disparait

    nous continuons

    Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
    Tuto
    http://mickael.barroux.free.fr/securite/clean.php
    Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
    Cela va créer un dossier clean.
    Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    Double-clic sur clean. Cela va ouvrir une fenêtre noire.
    Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Un rapport Va etre généré, colle le contenu entier ici.

    (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

    a+
    0
  11. Yesbutno Messages postés 21 Statut Membre
     
    Alors, j'ai installé clean, lancé le logiciel etc..., seulement je n'ai pas de rapport : il fait la recherche, et après me demande d'uploader un fichier ... Que dois-je faire ?
    0
  12. Yesbutno Messages postés 21 Statut Membre
     
    Si en fait j'ai trouvé.

    Voici le rapport :
    29/12/2007 a 12:40:25,79

    *** Recherche des fichiers dans C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32

    *** Recherche des fichiers dans C:\Program Files
    "C:\Program Files\Fichiers communs\WhenU\" FOUND

    Normal qu'il soit si petit ?
    0
  13. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875
     
    normal, enfin presque, il aurait pu etre encore plus petit

    Redémarre ton PC en mode sans échec :
    Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
    Double-clic sur clean. Cela va ouvrir une fenêtre noire.
    Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
    Clean va travailler.
    Un rapport Va etre généré, envoie le moi dans ta prochaine réponse !

    il restera des chose à faire ensuite, mais il faut aussi que je lise ton hijackthis

    a+
    0
  14. Yesbutno Messages postés 21 Statut Membre
     
    J'ai lancé clean (un peu de mal à démarrer en sans échec, car sur l'IBM c'est pas sur F8 qu'il faut appuyer, mais sur le bouton d'IBM et j'ai réussi en tripotant un peu tout à tomber sur le mode sans échec par le plus grand des hasards...) Je te poste le rapport dès que Clean a fini.
    0
  15. Yesbutno Messages postés 21 Statut Membre
     
    Voici le rapport :

    (Obligée de te l'envoyer d'un autre pc vu qu'en mode sans échec je n'ai pas internet apparemment, et je ne savais pas si je pouvais redémarrer le pc normalement ou pas donc...)

    Script execute en mode sans echec
    Rapport Clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 29/12/2007 a 13:57:30,35

    Microsoft Windows CP [version 5.1.2600]

    *** Suppression des fichiers dans C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32

    *** Suppression des fichiers dans C:\Program Files
    tentative de suppression de "C:\program Files\Fichiers communs\whenU\"

    *** Suppression des clefs du registre effectuee...
    0
  16. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875
     
    la suite

    Télécharge BTFix 1.017 (de bibi26)
    http://cluster1.easy-hebergement.net/

    * Décompresse l'archive sur ton Bureau
    * Ouvre le dossier BTFix
    * Double clique sur BTFix.exe
    * Clique sur Rechercher
    * Un rapport va apparaître, copie/colle-le dans ta prochaine réponse

    Si tu vois une infection tu continues

    * Démarre l'ordinateur.
    * Une fois le chargement du BIOS terminé, il y a un écran noir.
    * Appuie sur la touche F8 ou F5, à répétition jusqu'à l'affichage du menu des options avancées de Windows.
    * En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuie sur Entrée.
    * Choisis ton compte usuel et non Administrateur.

    * Ouvre BTFix
    * Clique sur "Nettoyer"
    * Un rapport va apparaître, copie/colle-le dans ta prochaine réponse

    ainsi qu'un nouvel hijackthis

    a+
    0
  17. Yesbutno Messages postés 21 Statut Membre
     
    Voilà le rapport de BTFix :
    BTFix 1.066 (par bibi26) - 29/12/2007 15:05:48 - Analyse
    Lancé depuis C:\Documents and Settings\Valou\Bureau\BTFix\BTFix\BTFix.exe

    ---> Fichiers/Dossiers trouvés

    - C:\Program Files\DAEMON Tools SearchBar

    ---> Analyse terminée

    Je continue alors...
    0
  18. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875
     
    oui, il faut continuer

    repost un hijackthis
    0
  19. Yesbutno Messages postés 21 Statut Membre
     
    Rapport BTFix :

    BTFix 1.066 (par bibi26) - 29/12/2007 15/17/45 - Nettoyage - Mode sans échec
    Lancé depuis C:\Documents and settings\Valou\Bureau\BTFix\BTFix\BTFix.exe

    ----> Fichiers\dossiers supprimés

    - Fichiers temporaires effacés
    - C:\Program Files\DAEMON Tools SearchBar

    ----> Nettoyage terminé
    0
  20. Yesbutno Messages postés 21 Statut Membre
     
    Rapport Hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:21:38, on 29/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.incredimail.com/page.asp?page=reg_success&lang=12&version=5653034&setup_id=12000007&aff_id=1&addon=IncrediMail
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: BDEX System - {0B1B0622-6874-4751-B866-87C5CA1B93B9} - C:\WINDOWS\blopenvwsd.dll
    O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O3 - Toolbar: The ddxbox - {18D19587-63A8-4D24-B79D-267E8A3AB0BF} - C:\WINDOWS\retnsrp.dll
    O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
    O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
    O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
    O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://yesbutland.spaces.live.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O21 - SSODL: leorop - {E638FE78-D354-466E-B342-6C9A92BA5E22} - (no file)
    O21 - SSODL: nopzet - {1AFD1998-D342-464B-9949-E02E6FFDB376} - C:\WINDOWS\nopzet.dll
    O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
    O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
    0
  21. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875
     
    bon

    Commence par télécharger ComboFix ici:
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Et enregistre le sur le bureau.
    Regardes ici, si tu souhaites te familiariser avec son utilisation:
    http://mickael.barroux.free.fr/securite/combofix.php

    Sur ton bureau double clic sur Combofix.exe.
    Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.
    En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse faire.

    Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.
    (Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

    /!\ Pendant toute la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme et ne surfe pas sur le net.
    0
  • 1
  • 2