pouvez-vous analyser mon rapport Navilog1 SVP Résolu

Question

Bonjour,

J'ai moi aussi choppé le fameux "fp.pc-on-internet" sur mon ordinateur. 

Comme indiqué dans plusieurs forums, j'ai utilisé Navilog1. Avant de passer à l'étape suivante, j'aimerais que quelqu'un vérifie mon rapport SVP car je n'y comprends rien du tout... Je n'ai pas envie de supprimer n'importe quoi non plus, donc... voici le rapport :


Search Navipromo version 3.3.8 commencé le 30/12/2007 à 13:29:59,17

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


Instant Access
SudoPlanet


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\Instant Access trouvé !
C:\Program Files\SudoPlanet trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Liva\application data" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Documents and Settings\Liva\Local Settings\Application Data\bkdxraw.dat
C:\Documents and Settings\Liva\Local Settings\Application Data\bkdxraw.exe
C:\Documents and Settings\Liva\Local Settings\Application Data\bkdxraw_nav.dat
C:\Documents and Settings\Liva\Local Settings\Application Data\bkdxraw_navps.dat



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

iefcyx.exe trouvé ! 
iefcyx.dat trouvé ! 
iefcyx_nav.dat trouvé ! 
iefcyx_navps.dat trouvé ! 
iefcyx_navup.dat trouvé ! 

* Recherche dans "C:\Documents and Settings\Liva\local settings\application data" * 

Fichiers trouvés :

bkdxraw.exe trouvé ! 



*** Recherche fichiers *** 


C:\WINDOWS\Downloaded Program Files\IaLdr32.inf trouvé !
C:\WINDOWS	mlpcert2007 trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

iefcyx.dat trouvé !
iefcyx_nav.dat trouvé !
iefcyx_navup.dat trouvé !
lnaccess.exe trouvé !

* Dans "C:\Documents and Settings\Liva\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :

C:\WINDOWS\system32\ggjlm.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\ggjlm.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\ggjlm.bak2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 30/12/2007 à 13:34:18,21 ***





Merci :))

Hanta

Lyonnais92 · Answer

Bonjour,

 Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.
Tu posteras le rapport dans ta rponse;

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.

Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse



Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
              http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

hanta1604 · Answer

salut, merci pour la réponse :))

alors voici le rapport pour VUNDOFIX :


VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 14:14:52 30/12/2007

Listing files found while scanning....

C:\WINDOWS\System32\ehqkdevn.dll
C:\WINDOWS\System32\gebbaay.dll
C:\WINDOWS\System32\ggjlm.bak1
C:\WINDOWS\System32\ggjlm.bak2
C:\WINDOWS\System32\ggjlm.ini
C:\WINDOWS\System32\ggjlm.ini2
C:\WINDOWS\System32\ggjlm.tmp
C:\WINDOWS\System32\mljgg.dll
C:\WINDOWS\System32\qggiwxcb.dll
C:\WINDOWS\System32\wqvbvjrc.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\ggjlm.bak1
C:\WINDOWS\System32\ggjlm.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ggjlm.bak2
C:\WINDOWS\System32\ggjlm.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ggjlm.ini
C:\WINDOWS\System32\ggjlm.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ggjlm.ini2
C:\WINDOWS\System32\ggjlm.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ggjlm.tmp
C:\WINDOWS\System32\ggjlm.tmp Has been deleted!

Performing Repairs to the registry.
Done!








et voici le rapport pour HIJACKTHIS :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:39, on 30/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\srvd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://edit.europe.yahoo.com/config/mail?.intl=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {141C69BD-F399-41E7-9DA5-9D3C5C3DC806} - C:\WINDOWS\System32\mljgg.dll (file missing)
O2 - BHO: phoneaccess Class - {5054F860-748D-4840-B7B4-DDDB428421AF} - C:\WINDOWS\PHONEA~1.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: (no name) - {CD879F19-E3BF-4E40-A2CC-D16487E8A125} - C:\WINDOWS\System32\mydvbhgv.dll (file missing)
O2 - BHO: (no name) - {F6292B16-443E-4EF2-AFC0-01533A7ACD27} - C:\WINDOWS\System32\fccbccb.dll (file missing)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [johkjh] C:\WINDOWS\system32\srvd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [johkjh] C:\WINDOWS\system32\srvd.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Update Playlist.lnk = C:\Program Files\ipopmusic\WiseUpdt.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/192cc62301560ad7cf17/netzip/RdxIE601_fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B586E90-7FD1-4CFF-BB6E-385E2DB7FBBD}: NameServer = 193.251.141.253,80.15.245.3,192.168.0.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9A7E494-7CAB-49E0-A786-15BD86247F96}: NameServer = 193.251.141.253 80.15.245.3
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: fccbccb - fccbccb.dll (file missing)
O20 - Winlogon Notify: gebbaay - gebbaay.dll (file missing)
O20 - Winlogon Notify: mljgg - C:\WINDOWS\System32\mljgg.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe (file missing)

hanta1604 · Answer

est-ce que quelqu'un pourrait m'aider à finir le nettoyage, SVP ?

Lyonnais92 · Answer

Re,

rassure toi, mais il n'y a pas qu'Internet dans ma vie.

1)     Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

    Si c'est le cas tu as le choix entre ces deux possibilités :

    Zone Alarm Tuto et lien de téléchargement ici :
    https://www.malekal.com/tutoriel-zonealarm-firewall/

    Kerio Tuto et lien de téléchargement ici :
    http://www.malekal.com/kerio_firewall.php

    Il y en a d'autres que tu peux trouver en ouvrant ce lien :
    http://www.malekal.com/menu_tutorials_logiciels.php

    Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

2)     Ta console java n'est pas à jour, ce qui constitue une faille de sécurité.

    Ouvre ce lien :
    https://www.java.com/fr/download/manual.jsp

    Choisis la première ligne de téléchargement puis installe java.

    En fin d'installation, revient sur la page pour vérifier ton installation.

    Quand l'installation a réussi, ouvre le panneau de configuration, Ajout/suppression de programmes et supprime
    J2SE Runtime Environment Version 5.0 Update xx.

3) Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

 	O2 - BHO: (no name) - {141C69BD-F399-41E7-9DA5-9D3C5C3DC806} - C:\WINDOWS\System32\mljgg.dll (file missing)
 	O2 - BHO: phoneaccess Class - {5054F860-748D-4840-B7B4-DDDB428421AF} - C:\WINDOWS\PHONEA~1.DLL (file missing)
 	O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
 	O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
 	O2 - BHO: (no name) - {CD879F19-E3BF-4E40-A2CC-D16487E8A125} - C:\WINDOWS\System32\mydvbhgv.dll (file missing)
 	O2 - BHO: (no name) - {F6292B16-443E-4EF2-AFC0-01533A7ACD27} - C:\WINDOWS\System32\fccbccb.dll (file missing)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
	 	O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
 	O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
 	O20 - Winlogon Notify: fccbccb - fccbccb.dll (file missing)
 	O20 - Winlogon Notify: gebbaay - gebbaay.dll (file missing)
 	O20 - Winlogon Notify: mljgg - C:\WINDOWS\System32\mljgg.dll (file missing)


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

4) Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\srvd.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

5) télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

6) Redémarre l'ordi (sauf si Combofix l'a fait) et remets un rapport Hijackthis.

hanta1604 · Answer

re,

désolée pour mon impatience et mon acharnement :$ :$ chui contente que tu aies une autre vie que l'Internet loool c'est effectivement rassurant !

alors... je bloque à l'étape 4 puisque je n'ai pas le fichier C:\WINDOWS\system32\srvd.exe  
je passe du fichier /srsvc.dll au fichier /srvsvc.dll

Voilà, je vais faire preuve d'un peu plus de patience désormais... et merci encore pour la réponse :D

Lyonnais92 · Answer

re,

saute l'étape et fais le 6)

et poste les rapports.

hanta1604 · Answer

Salut ! Voici mon rapport ComboFix : ComboFix 07-12-31.4 - Liva 2007-12-31 19:25:15.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.90 [GMT 3:00]Running from: C:\Documents and Settings\Liva\Bureau\ComboFix.exe * Created a new restore point . [color=purple]The following files were disabled during the run:[/color] C:\WINDOWS\system32\sockspy.dll (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Liva\Menu Démarrer\crazy girls.lnk C:\Documents and Settings\Liva\Menu Démarrer\Programmes\SudoPlanet C:\Documents and Settings\Liva\Menu Démarrer\Programmes\SudoPlanet\Conditions générales.lnk C:\Documents and Settings\Liva\Menu Démarrer\Programmes\SudoPlanet\Confidentialité.lnk C:\Documents and Settings\Liva\Menu Démarrer\Programmes\SudoPlanet\SudoPlanet.lnk C:\Documents and Settings\Liva\Menu Démarrer\Programmes\SudoPlanet\Website.lnk C:\WINDOWS\system32\mcrh.tmp . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_NDISWON -------\NdisWon ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-28 to 2007-12-31 )))))))))))))))))))))))))))))))))))) . 2007-12-31 19:24 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-12-31 18:35 . 2007-12-31 18:35 d-------- C:\Documents and Settings\Liva\Application Data\DivX 2007-12-31 18:33 . 2007-12-31 18:34 d-------- C:\Program Files\DivX 2007-12-31 02:27 . 2007-12-31 02:27 d-------- C:\Program Files\Winamp Toolbar 2007-12-31 02:27 . 2007-12-31 02:27 d-------- C:\Documents and Settings\All Users\Application Data\Winamp Toolbar 2007-12-31 02:26 . 2007-12-31 02:27 d-------- C:\Program Files\Winamp Remote 2007-12-31 02:26 . 2007-12-31 02:27 d-------- C:\Documents and Settings\All Users\Application Data\OrbNetworks 2007-12-31 02:15 . 2007-11-30 01:30 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2007-12-31 02:03 . 2007-12-31 02:14 18,207,368 --a------ C:\Program Files\winamp551_full_bundle_emusic-7plus_fr-fr.exe 2007-12-30 16:31 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2007-12-30 16:16 . 2007-12-31 19:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-30 16:16 . 2007-12-30 16:16 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-30 14:43 . 2007-12-30 14:43 d-------- C:\Program Files\Trend Micro 2007-12-30 14:42 . 2007-12-30 14:43 812,344 --a------ C:\Program Files\HJTInstall.exe 2007-12-30 14:14 . 2007-12-31 00:30 d-------- C:\VundoFix Backups 2007-12-30 13:28 . 2007-12-30 14:12 d-------- C:\Program Files\Navilog1 2007-12-29 01:35 . 2007-12-29 01:35 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-12-29 00:08 . 2007-12-30 01:08 d--h----- C:\WINDOWS\$hf_mig$ 2007-12-26 01:18 . 2007-12-26 01:19 623,055 --a------ C:\Program Files\SpywareSecure_trial_setup.exe 2007-12-25 23:42 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-12-25 23:42 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll 2007-12-25 23:42 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2007-12-25 23:30 . 2003-02-28 18:26 139,536 --a------ C:\WINDOWS\system32\javaee.dll 2007-12-25 23:00 . 2007-12-25 23:12 d-------- C:\Program Files\Windows Live 2007-12-25 23:00 . 2007-12-25 23:11 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-12-25 23:00 . 2007-12-25 23:00 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2007-12-25 22:58 . 2007-12-25 22:59 2,402,832 --a------ C:\Program Files\WLinstaller.exe 2007-12-25 22:32 . 2007-12-31 19:19 d-------- C:\Program Files\eMule 2007-12-25 22:30 . 2007-12-25 22:32 3,858,985 --a------ C:\Program Files\eMule0.48a-Installer.exe 2007-12-23 21:08 . 2007-12-23 21:09 260,632 --a------ C:\Program Files\setup_fr.exe 2007-12-19 11:54 . 2001-08-17 21:57 16,128 --a------ C:\WINDOWS\system32\drivers\MODEMCSA.sys 2007-12-19 11:54 . 2001-08-17 21:57 16,128 --a--c--- C:\WINDOWS\system32\dllcache\modemcsa.sys 2007-12-19 11:52 . 2005-07-25 10:04 48,640 --------- C:\WINDOWS\system32\drivers\ser2pl.sys 2007-12-17 16:46 . 2007-12-04 16:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-12-17 16:46 . 2004-01-09 13:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2007-12-17 16:46 . 2007-12-04 15:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-12-17 16:46 . 2007-12-04 17:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-17 16:46 . 2007-12-04 17:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-17 16:46 . 2007-12-04 17:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-17 16:46 . 2007-12-04 17:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-17 16:46 . 2007-12-04 17:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-17 15:23 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2007-12-17 15:23 . 2001-08-23 17:04 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys 2007-12-17 15:23 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-12-17 15:23 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys 2007-12-04 04:33 . 2007-12-04 04:33 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2007-12-04 04:33 . 2007-12-04 04:33 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll 2007-12-04 04:33 . 2007-12-04 04:33 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll 2007-12-04 04:33 . 2007-12-04 04:33 682,496 --a------ C:\WINDOWS\system32\DivX.dll 2007-12-04 04:33 . 2007-12-04 04:33 630,784 --a------ C:\WINDOWS\system32\divxdec.ax 2007-11-30 01:30 . 2007-11-30 01:30 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2007-11-30 01:30 . 2007-11-30 01:30 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll 2007-11-30 01:30 . 2007-11-30 01:30 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2007-11-30 01:30 . 2007-11-30 01:30 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll 2007-11-30 01:30 . 2007-11-30 01:30 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm 2007-11-30 01:30 . 2007-11-30 01:30 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb 2007-11-30 01:28 . 2007-11-30 01:28 196,608 --a------ C:\WINDOWS\system32\dtu100.dll 2007-11-30 01:28 . 2007-11-30 01:28 81,920 --a------ C:\WINDOWS\system32\dpl100.dll 2007-11-30 01:28 . 2007-11-30 01:28 416 --a------ C:\WINDOWS\system32\dtu100.dll.manifest 2007-11-30 01:28 . 2007-11-30 01:28 416 --a------ C:\WINDOWS\system32\dpl100.dll.manifest 2007-11-29 00:55 . 2007-11-29 00:55 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2007-11-29 00:53 . 2007-11-29 00:53 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll 2007-11-29 00:53 . 2007-11-29 00:53 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax 2007-11-29 00:53 . 2007-11-29 00:53 344,064 --a------ C:\WINDOWS\system32\dpus11.dll 2007-11-29 00:53 . 2007-11-29 00:53 294,912 --a------ C:\WINDOWS\system32\dpu11.dll 2007-11-29 00:53 . 2007-11-29 00:53 294,912 --a------ C:\WINDOWS\system32\dpu10.dll 2007-11-29 00:53 . 2007-11-29 00:53 57,344 --a------ C:\WINDOWS\system32\dpv11.dll 2007-11-29 00:53 . 2007-11-29 00:53 53,248 --a------ C:\WINDOWS\system32\dpuGUI10.dll 2007-11-29 00:52 . 2007-11-29 00:52 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2007-11-29 00:52 . 2007-11-29 00:52 8,835 --a------ C:\WINDOWS\system32\dpufr.qm 2007-11-29 00:52 . 2007-11-29 00:52 3,162 --a------ C:\WINDOWS\system32\dtu_fr.qm 2007-11-17 20:19 . 2007-11-17 20:35 d-------- C:\Documents and Settings\Liva\Application Data\AdobeUM 2007-11-12 15:16 . 2007-11-12 15:18 d-------- C:\WINDOWS\SxsCaPendDel 2007-11-12 15:00 . 2007-11-12 15:12 121 --a------ C:\WINDOWS\bdagent.INI 2007-11-12 14:46 . 2007-11-12 15:09 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2007-11-12 14:45 . 2007-11-12 14:45 d-------- C:\Documents and Settings\Liva\Application Data\BitDefender 2007-11-12 14:42 . 2007-11-12 14:44 d-------- C:\Program Files\BitDefender 2007-11-12 14:37 . 2007-11-12 14:43 d-------- C:\Program Files\Fichiers communs\BitDefender 2007-11-12 12:26 . 2007-11-12 12:26 0 --a------ C:\WINDOWS\vpc32.INI 2007-11-12 12:14 . 2007-12-17 16:38 d-------- C:\Program Files\Symantec 2007-11-12 12:14 . 2007-12-17 16:38 d-------- C:\Program Files\Fichiers communs\Symantec Shared 2007-11-12 12:14 . 2007-12-17 16:38 d-------- C:\Documents and Settings\All Users\Application Data\Symantec 2007-11-12 12:06 . 2007-12-31 19:23 d-------- C:\Documents and Settings\Liva\Bureau 2007-11-12 10:23 . 2007-11-12 10:23 d---s---- C:\Documents and Settings\Liva\Temporary Internet Files 2007-11-12 10:23 . 2007-11-12 10:23 d---s---- C:\Documents and Settings\Liva\Historique 2007-11-12 10:20 . 2007-10-11 19:46 65,115 ---hs---- C:\WINDOWS\system32\srvd.exe 2007-11-10 13:23 . 2007-11-10 13:23 d-------- C:\WINDOWS\system32\3com_dmi 2007-11-10 13:23 . 2007-11-10 13:23 d-------- C:\WINDOWS\system32\1031 2007-11-10 13:23 . 2007-11-10 13:23 d-------- C:\WINDOWS\system32\1028 2007-11-10 13:23 . 2007-11-10 13:23 d-------- C:\WINDOWS\system32\1025 2007-11-10 13:23 . 2007-11-10 13:23 d-------- C:\WINDOWS\Provisioning 2007-11-10 13:23 . 2007-11-10 13:31 d-------- C:\WINDOWS\PeerNet 2007-11-10 11:33 . 2007-11-10 11:33 d-------- C:\Documents and Settings\All Users\Application Data\Avg7 2007-11-10 11:25 . 2007-11-10 11:25 d-------- C:\Documents and Settings\Administrateur\Application Data\SlipStream 2007-11-10 11:22 . 2005-07-21 12:24 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2007-11-10 11:22 . 2005-07-21 12:24 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-11-10 11:22 . 2007-11-10 10:36 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2007-11-10 11:22 . 2007-11-10 11:24 dr------- C:\Documents and Settings\Administrateur\Mes documents 2007-11-10 11:22 . 2005-07-21 12:24 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2007-11-10 11:22 . 2007-11-10 11:24 dr------- C:\Documents and Settings\Administrateur\Favoris . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-30 23:27 --------- d-----w C:\Program Files\Winamp 2007-12-30 13:31 --------- d-----w C:\Program Files\Java 2007-12-19 08:52 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-11-15 15:42 --------- d-----w C:\Program Files\Winflow 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-12 12:52 --------- d-----w C:\Documents and Settings\Liva\Application Data\SlipStream 2007-07-08 11:39 24,800 -c--a-w C:\Documents and Settings\Liva\Application Data\GDIPFONTCACHEV1.DAT 2007-06-04 17:43 5,823,256 -c--a-w C:\Program Files\Firefox Setup 2.0.0.4.exe 2007-03-26 17:05 295 ----a-w C:\Documents and Settings\Liva\esfd.exe 2007-03-13 17:04 13,446,648 ----a-w C:\Program Files\setupfre.exe 2006-09-23 09:48 1,355,912 ----a-w C:\Program Files\install_flash_player.exe 2006-07-30 07:58 6,206,440 ----a-w C:\Program Files\winamp524_full_emusic-7plus.exe 2006-07-30 07:42 1,236,037 -c--a-w C:\Program Files\winamp_in_FR_.exe 2006-07-12 03:48 103,936 -c--a-w C:\Program Files\ROTARY.doc 2006-07-02 10:39 11,453,032 -c--a-w C:\Program Files\zlsSetup_61_744_001_fr.exe 2006-07-01 17:28 5,660,424 -c--a-w C:\Program Files\FirefoxGoogleToolbarSetup.exe 2006-07-01 17:16 2,855,080 ----a-w C:\Program Files\aawsepersonal.exe 2006-06-30 16:55 380,968 ----a-w C:\Program Files\msgr8fr.exe 2006-03-18 14:45 2,063,624 ----a-w C:\Program Files\CuteWriter.exe 2006-01-19 18:10 13,829,536 ----a-w C:\Program Files\RealPlayer10-5GOLD_fr.exe 2005-12-23 18:08 12,814,336 ----a-w C:\Program Files\mp10setup.exe 2005-12-17 10:00 2,212,192 ----a-w C:\Program Files\wbsamp.exe 2005-11-28 20:45 1,018,345 -c--a-w C:\Program Files\Drv98Setup.exe 2005-07-24 10:37 5,114,248 -c--a-w C:\Program Files\winamp5093_full.exe 2005-07-22 18:23 1,261,803 -c--a-w C:\Program Files\BoosterInstaller.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}] 2007-12-13 19:49 1185120 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {EF99BD32-C1FB-11D2-892F-0090271D4F88} {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} [HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "johkjh"="C:\WINDOWS\system32\srvd.exe" [2007-10-11 19:46 65115] "Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2006-09-13 14:17 4621816] "Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2007-12-18 04:02 471040] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2006-09-17 18:40 185784] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 18:58 282624] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576] "BDMCon"="C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" [ ] "BDOESRV"="C:\Program Files\Softwin\BitDefender9\bdoesrv.exe" [ ] "BDNewsAgent"="C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe" [ ] "BDSwitchAgent"="C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe" [ ] "johkjh"="C:\WINDOWS\system32\srvd.exe" [2007-10-11 19:46 65115] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 16:00 79224] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-05 15:00 15360] "johkjh"="C:\WINDOWS\System32 hd.exe" [ ] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoLogOff"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Liva^Menu Démarrer^Programmes^Démarrage^Webshots.lnk] path=C:\Documents and Settings\Liva\Menu Démarrer\Programmes\Démarrage\Webshots.lnk backup=C:\WINDOWS\pss\Webshots.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\2chkdsk] rundll32.exe C:\WINDOWS\System32\ppftbytu.dll,setvm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DllRunning] rundll32.exe C:\WINDOWS\System32\vxdynvie.dll,setvm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iefcyx] c:\windows\system32\iefcyx.exe iefcyx [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\johkjh] 2007-10-11 19:46 65115 ---hs---- C:\WINDOWS\system32\srvd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\john315] C:\WINDOWS\system32\srrvc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmsass] mmdmm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\slack12] C:\WINDOWS\system32\mfcee.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sysms] C:\Documents and Settings\Liva\1.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2007-12-20 18:16 37376 --a------ C:\Program Files\Winamp\winampa.exe S2 FILESpy;FILESpy;C:\Program Files\Softwin\BitDefender9\filespy.sys [] S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [2003-12-01 09:36] . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-31 19:30:07 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\sockspy.dll PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180] -> C:\WINDOWS\system32\sockspy.dll PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156] -> C:\WINDOWS\system32\sockspy.dll . Completion time: 2007-12-31 19:32:43 - machine was rebooted C:\qoobox\ComboFix-quarantined-files.txt 2007-12-31 16:32:27 . 2007-12-29 22:09:07 --- E O F --- Et le rapport Hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:33:14, on 31/12/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\srvd.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Winamp Remote\bin\OrbTray.exe C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32 otepad.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://edit.europe.yahoo.com/config/mail?.intl=fr R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe" O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe" O4 - HKLM\..\Run: [johkjh] C:\WINDOWS\system32\srvd.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe O4 - HKCU\..\Run: [johkjh] C:\WINDOWS\system32\srvd.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Update Playlist.lnk = C:\Program Files\ipopmusic\WiseUpdt.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar esources\en-US\local\search.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/192cc62301560ad7cf17/netzip/RdxIE601_fr.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5B586E90-7FD1-4CFF-BB6E-385E2DB7FBBD}: NameServer = 193.251.141.253,80.15.245.3,192.168.0.67 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe (file missing) O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe (file missing)

Lyonnais92 · Answer

Re,

Zone Alarm est gratuit.

Utilise le lien et le tuto que je t'ai donné.

Je regarde le log Combofix et je te dis.

hanta1604 · Answer

Salut,         et bonne année !

Ca y est, j'ai installé Zone Alarm version gratuite.

Hanta

Lyonnais92 · Answer

Bonjour,

1) Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\srvd.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Recommence avec :
C:\WINDOWS\System32	hd.exe

C:\WINDOWS\System32\ppftbytu.dll

C:\WINDOWS\System32\vxdynvie.dll


Ouvre ce lien pour télécharger la version d'essai de Rogue remover
http://assiste.com.free.fr/...

exécute l'outil.

Poste le rapport si tu en trouves un.

hanta1604 · Answer

Re,

je ne trouve aucun des 4 fichiers dans le dossier Systeme32, même pas en fichier caché (j'ai même fais une recherche avec le bouton Recherche du menu Démarrer.

Dois-je tout de même faire le Rogue remover ?

Lyonnais92 · Answer

Re,

remets un rapport Hijackthis.

pourquoi as tu des traces de bitdefender ?

hanta1604 · Answer

salut,

En fait ce PC est celui de mes parents, ya pleins de saletés car ils cliquent sur les pop-up ou ouvrent des spams... donc j'essaye de leur apprendre les bonnes manières lol... mais bon, moi même chui pas pro donc... Pour BitDefender, apparemment il est installé sur l'ordi (mais n'a pas l'air lancé puisque c'est avast leur antivirus).

Rapport HJT :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:02:07, on 03/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\srvd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32
tvdm.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\installer\WLSetupSvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://edit.europe.yahoo.com/config/mail?.intl=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [johkjh] C:\WINDOWS\system32\srvd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [johkjh] C:\WINDOWS\system32\srvd.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Update Playlist.lnk = C:\Program Files\ipopmusic\WiseUpdt.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/192cc62301560ad7cf17/netzip/RdxIE601_fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B586E90-7FD1-4CFF-BB6E-385E2DB7FBBD}: NameServer = 193.251.141.253,80.15.245.3,192.168.0.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9A7E494-7CAB-49E0-A786-15BD86247F96}: NameServer = 193.251.141.253 80.15.245.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe (file missing)

Lyonnais92 · Answer

Re,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Pouvez-vous analyser mon rapport Navilog1 SVP

14 réponses

Votre réponse

Discussions similaires

Newsletters