Sujet Précédent Sujet Suivant

Trojan32.win.obfuscated.mt

titia -  
ep44 Messages postés 7432 Statut Contributeur -
Bonjour,

g de soucis avec des publicités intempestives
A pemiere vu mon anti virus aurai trouver un virus apeler trojan32.obfiscaed.mt

j ai fait un scan avec hijackthis.
g un rapport que j ne c pas dechiffrer kelkun peut m aider svp.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:10:09, on 11/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\SPYWAREfighter\spftray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\SPYWAREfighter\spfprc.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\ALZip\ALZip.exe
C:\Program Files\HiJackThis\HijackThis.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer optimisé pour MSN
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\adobe reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [bend logo clock film] C:\Documents and Settings\All Users.WINDOWS\Application Data\Frag great bend logo\city deaf.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Chin bags] C:\DOCUME~1\LAETIT~1.DOM\APPLIC~1\FORKTR~1\Second Aim.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: 14102007131.jpg
O4 - Startup: 14102007132.jpg
O4 - Startup: 14102007133.jpg
O4 - Startup: 14102007134.jpg
O4 - Startup: 14102007135.jpg
O4 - Startup: 14102007136.jpg
O4 - Startup: 16092007119.jpg
O4 - Startup: 16092007120.jpg
O4 - Startup: 24082007094.jpg
O4 - Startup: Alicia et marion.jpg
O4 - Startup: Cathy casse croute.jpg
O4 - Startup: Famille.jpg
O4 - Startup: Il et 4heur je mange faite pas chier.jpg
O4 - Startup: le chat.jpg
O4 - Startup: Le chat et son metre qui dor.jpg
O4 - Startup: mes 4 filles.jpg
O4 - Startup: Mes filles.jpg
O4 - Startup: Moi en costume du taf.jpg
O4 - Startup: M_ 3 mimette.jpg
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Photos-0005.jpg
O4 - Startup: Photos-0006.jpg
O4 - Startup: Photos-0008.jpg
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - E:\Player\__CDS2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe

29 réponses

  • 1
  • 2
Réponse 1 / 29
ep44 Messages postés 7432 Statut Contributeur 3
 
Bonsoir

Télécharge sur le bureau : [url=http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe]navilog.exe[/url]

=> installe le
=> Double-Clic navilog1 qui est sur le bureau
=> Appuyer sur une touche jusqu' arriver aux options
=> Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

le rapport se trouve dans c: fixnavi.txt

tu postes ce rapport.

---------------------
Télecharge http://www.malekal.com/download/clean.zip sur le bureau

=> Dézippe sur le bureau.
=> ouvrir le dossier clean
=> clique sur le symbole roue dentée avec le nom clean
=> choisir l'option 1 et laisser clean travailler jusqu'à l'apparition du texte "appuyer sur une touche pour continuer"
=> ensuite colle le rapport
@+
0
Réponse 2 / 29
titia
 
kikoo,
merci d avance.
tiens je te poste le rapport du premier telechargment que tu m as demandée.

Search Navipromo version 3.4.0 commencé le 12/01/2008 à 1:35:28,50

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~2.WIN\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Laetitia.DOMICILE\application data" ***

*** Recherche dossiers dans "C:\Documents and Settings\Laetitia.DOMICILE\MENUDM~1\PROGRA~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~2.WIN\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\xqhjzx.dat
C:\WINDOWS\system32\xqhjzx.exe
C:\WINDOWS\system32\xqhjzx_nav.dat
C:\WINDOWS\system32\xqhjzx_navps.dat

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Laetitia.DOMICILE\local settings\application data" *

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

xqhjzx.dat trouvé !

* Dans "C:\Documents and Settings\Laetitia.DOMICILE\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :

*** Analyse terminée le 12/01/2008 à 1:45:51,34 ***
0
Réponse 3 / 29
ep44 Messages postés 7432 Statut Contributeur 3
 
relance navilog et choisis l'option 2
poste le rapport ensuite il faut le rapport de clean
@+
0
Réponse 4 / 29
titia
 
re
g fait le scan tu deuxieme mais comment je fais pour t envoyer le rapport je n ai que ça

12/01/2008 a 1:56:27,84

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\GamesBar\" FOUND

ou

Veuillez svp envoyer le fichier C:\upload_moi_DOMICILE.tar.gz a l'adresse http://upload.malekal.com

sinon g un zip fais signe si tu le veux, il est sur mon bureau.

merci d avance
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
titia
 
g relancer navilog
je te donne mon deuxieme rapport

Clean Navipromo version 3.4.0 commencé le 12/01/2008 à 2:07:37,64

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique

*** Creation backups fichiers trouvés par Catchme ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

Copie C:\WINDOWS\system32\xqhjzx.dat réalisée avec succès !
Copie C:\WINDOWS\system32\xqhjzx.exe réalisée avec succès !
Copie C:\WINDOWS\system32\xqhjzx_nav.dat réalisée avec succès !
Copie C:\WINDOWS\system32\xqhjzx_navps.dat réalisée avec succès !

*** Suppression des fichiers trouvés avec Catchme ***

C:\WINDOWS\system32\xqhjzx.dat supprimé !
C:\WINDOWS\system32\xqhjzx.exe supprimé !
C:\WINDOWS\system32\xqhjzx_nav.dat supprimé !
C:\WINDOWS\system32\xqhjzx_navps.dat supprimé !

** 2ème passage avec résultats Catchme **

* Dans C:\WINDOWS\system32 *

C:\WINDOWS\prefetch\xqhjzx*.pf trouvé !
Copie C:\WINDOWS\prefetch\xqhjzx*.pf réalisée avec succès !
C:\WINDOWS\prefetch\xqhjzx*.pf supprimé !

* Dans "C:\Documents and Settings\Laetitia.DOMICILE\local settings\application data" *

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

* Suppression dans "C:\Documents and Settings\Laetitia.DOMICILE\local settings\application data" *

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~2.WIN\APPLIC~1 ***

*** Suppression dossiers dans "C:\Documents and Settings\Laetitia.DOMICILE\application data" ***

*** Suppression dossiers dans "C:\Documents and Settings\Laetitia.DOMICILE\MENUDM~1\PROGRA~1" ***

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~2.WIN\MENUDM~1\PROGRA~1 ***

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Laetitia.DOMICILE\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans C:\WINDOWS\system32 *

* Dans "C:\Documents and Settings\Laetitia.DOMICILE\local settings\application data" *

*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 12/01/2008 à 2:14:31,89 ***
0
Réponse 6 / 29
ep44 Messages postés 7432 Statut Contributeur 3
 
Bonjour

lance clean.zip en mode sans echec=> option 2 et poste le rapport.
Attention pas de connexion internet en mode sans echec

=> Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel

ensuite
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix,
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
@+
0
Réponse 7 / 29
titia
 
ok je fais tout ca de suite

y a encore bcp de rapport comme ca???
0
Réponse 8 / 29
titia
 
je clic sur clean zip ou le dossier clean?
et si le dossier clean sur lequel???????

j attends ta reponse merci d avance
0
Réponse 9 / 29
ep44 Messages postés 7432 Statut Contributeur 3
 
tu vas en mode sans échec

et tu relance clean avec la roue crantée
et au lieu de choisir l'option 1
tu choisis l'option 2

ensuite tu revient en mode normal et tu poste le rapoort
et tu lance combofix pour poster à suivre son rapport
@+
0
Réponse 10 / 29
titia
 
re,

tiens voici le rapport sans echec ke je viens de faire avec option 2

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 13/01/2008 a 16:51:40,96

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
0
Réponse 11 / 29
titia
 
maintenant je telecharge combofix et je te poste le rapport de suite
0
Réponse 12 / 29
titia
 
re,

G téléchargé et lancer combofix il m as mis preparation du compte rendu mais rien ne c afficher.

Ou puis je le trouver pour pouvoir te le poster

Merci d avance.
0
Réponse 13 / 29
ep44 Messages postés 7432 Statut Contributeur 3
 
regarde dans c:

@+
0
Réponse 14 / 29
titia
 
kan je v dans c je trouve le dossier combofix

et dedans g pleins de trucs mais nul part marker rapport
0
Réponse 15 / 29
ep44 Messages postés 7432 Statut Contributeur 3
 
copie /colle ce que tu trouve dedans et entièrement
@+ ;-)
0
Réponse 16 / 29
titia
 
je ne peux pas te les coller il ne veut pas
0
Réponse 17 / 29
ep44 Messages postés 7432 Statut Contributeur 3
 
Ouvre le fichiers de combo
ensuite clic sur edition et choisi sélectionner tout
ensuite fait contrôle C "Ctrl" et C
et retourne sur le forum et fait contrôle V
0
Réponse 18 / 29
titia
 
je crois que g trouver

ComboFix 08-01-13.1 - Laetitia 2008-01-13 17:10:15.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.68 [GMT 1:00]
Running from: C:\Documents and Settings\Laetitia.DOMICILE\Bureau\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-13 to 2008-01-13 ))))))))))))))))))))))))))))))))))))
.

2008-01-13 17:08 . 2000-08-31 08:00 51,200 --a--c--- C:\WINDOWS\NirCmd.exe
2008-01-12 18:53 . 2008-01-12 18:53 12,461,042 --a--c--- C:\upload_moi_DOMICILE.tar.gz
2008-01-12 01:33 . 2008-01-12 02:14 <REP> d----c--- C:\Program Files\Navilog1
2008-01-12 00:02 . 2008-01-12 00:02 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Messenger Plus!
2008-01-11 21:42 . 2008-01-11 21:42 318,369 --a--c--- C:\Program Files\HiJackThis.zip
2008-01-11 20:15 . 2007-12-04 14:04 837,496 --a--c--- C:\WINDOWS\system32\aswBoot.exe
2008-01-11 20:15 . 2004-01-09 10:13 380,928 --a--c--- C:\WINDOWS\system32\actskin4.ocx
2008-01-11 20:15 . 2007-12-04 13:54 95,608 --a--c--- C:\WINDOWS\system32\AvastSS.scr
2008-01-11 20:15 . 2007-12-04 15:55 94,544 --a--c--- C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-11 20:15 . 2007-12-04 15:56 93,264 --a--c--- C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-11 20:15 . 2007-12-04 15:51 42,912 --a--c--- C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-11 20:15 . 2007-12-04 15:49 26,624 --a--c--- C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-11 20:15 . 2007-12-04 15:53 23,152 --a--c--- C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-09 15:04 . 2008-01-09 15:04 1,355 --a--c--- C:\WINDOWS\imsins.BAK
2008-01-07 12:24 . 2008-01-07 12:25 <REP> d----c--- C:\Program Files\SPYWAREfighter
2008-01-07 12:24 . 2008-01-07 12:24 <REP> d----c--- C:\Program Files\Fichiers communs\Application
2008-01-07 05:57 . 2008-01-07 05:57 <REP> d----c--- C:\Program Files\Fork Trust Iso
2008-01-05 06:50 . 2008-01-05 06:50 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Yahoo! Companion
2008-01-05 06:05 . 2008-01-11 23:59 <REP> d----c--- C:\Program Files\Messenger Plus! Live
2008-01-05 05:58 . 2008-01-05 05:58 <REP> d----c--- C:\Program Files\Windows Live Favorites
2008-01-04 12:26 . 2008-01-04 12:26 <REP> d----c--- C:\WINDOWS\Cmsif2007
2008-01-03 12:04 . 2008-01-07 05:57 <REP> d----c--- C:\Documents and Settings\Laetitia.DOMICILE\Application Data\Fork Trust Iso
2007-12-30 15:55 . 2007-12-30 15:56 <REP> d----c--- C:\Program Files\OpenOffice.org 2.3
2007-12-27 12:07 . 2007-12-27 12:07 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\TERMINAL Studio
2007-12-27 12:05 . 2008-01-03 11:30 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\GamesBar
2007-12-20 21:08 . 2007-12-20 21:09 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-12-18 10:31 . 2007-12-18 10:26 774,144 --a--c--- C:\Program Files\RngInterstitial.dll
2007-12-17 23:08 . 2008-01-07 05:57 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Frag great bend logo
2007-12-17 15:13 . 2007-12-26 13:19 51 --a--c--- C:\WINDOWS\npornap.INI
2007-12-17 15:12 . 2007-12-26 20:27 <REP> d----c--- C:\Program Files\Orange
2007-12-16 22:52 . 2007-12-16 22:53 <REP> d----c--- C:\WINDOWS\system32\Samsung_USB_Drivers
2007-12-16 22:52 . 2005-08-13 05:06 22,486 -ra--c--- C:\WINDOWS\system32\UnInstall_Driver.ico
2007-12-14 21:55 . 2007-12-14 21:55 <REP> d----c--- C:\Program Files\Macrogaming

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 16:23 --------- dc----w C:\Program Files\eMule
2008-01-13 16:23 --------- dc----w C:\Documents and Settings\Laetitia.DOMICILE\Application Data\OpenOffice.org2
2008-01-12 00:10 --------- dc----w C:\Program Files\Google
2008-01-11 20:00 --------- dc----w C:\Program Files\AntivirusFirewall
2008-01-05 05:54 --------- dc----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-01-05 05:48 --------- dc----w C:\Program Files\Yahoo!
2008-01-05 05:26 --------- dc----w C:\Documents and Settings\All Users.WINDOWS\Application Data\WLInstaller
2008-01-05 05:00 --------- dc----w C:\Program Files\Windows Live
2008-01-05 04:58 --------- dc----w C:\Program Files\Windows Live Toolbar
2008-01-03 10:41 --------- dc----w C:\Documents and Settings\All Users.WINDOWS\Application Data\WindowsLiveInstaller
2008-01-03 10:38 --------- dc----w C:\Program Files\Java
2007-12-27 16:26 --------- dc--a-w C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2007-12-20 20:30 --------- dc----w C:\Documents and Settings\Laetitia.DOMICILE\Application Data\MSN6
2007-12-18 09:26 --------- dc----w C:\Program Files\Real
2007-12-17 14:12 --------- dc-h--w C:\Program Files\InstallShield Installation Information
2007-12-14 08:13 --------- dc----w C:\Program Files\Fichiers communs\Real
2007-12-10 12:52 --------- dc----w C:\Documents and Settings\Laetitia.DOMICILE\Application Data\U3
2007-12-05 15:25 --------- dc----w C:\Documents and Settings\Laetitia.DOMICILE\Application Data\CamfrogWEB
2007-12-04 22:59 --------- dc----w C:\Program Files\DD PlayCam
2007-12-04 22:53 --------- dc----w C:\Program Files\VideoCAM Eye
2007-12-04 22:53 --------- dc----w C:\Program Files\Fichiers communs\VCAMEye
2007-12-04 21:31 --------- dc----w C:\Program Files\CFWebAdvancedU_BOBTV.FR
2007-11-13 10:25 20,480 -c--a-r C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-23 16:49 586,752 -c--a-w C:\WINDOWS\WLXPGSS.SCR
2006-09-24 19:11 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"SweetIM"="C:\Program Files\Macrogaming\SweetIM\SweetIM.exe" [2007-10-14 18:09 103712]
"Chin bags"="C:\DOCUME~1\LAETIT~1.DOM\APPLIC~1\FORKTR~1\Second Aim.exe" [2008-01-07 05:56 410624]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-12 22:55 68856]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VX1000"="C:\WINDOWS\vVX1000.exe" [2006-12-06 00:38 707360]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 08:51 1836328]
"Adobe Reader Speed Launcher"="D:\adobe reader\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-14 09:12 185896]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"bend logo clock film"="C:\Documents and Settings\All Users.WINDOWS\Application Data\Frag great bend logo\city deaf.exe" [2008-01-13 17:23 1789440]
"spywarefighterguard"="C:\Program Files\SPYWAREfighter\spftray.exe" [2007-06-08 11:52 115608]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 14:39 294400]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 D:\adobe reader\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a--c--- 2004-06-29 08:06 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
--a--c--- 2007-12-04 14:00 79224 C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-04-21 16:03 94208 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--------- 2004-08-20 00:10 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-20 00:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
--a--c--- 2007-05-13 15:57 5308416 C:\Program Files\eMule\emule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
--a--c--- 2007-01-13 02:48 275800 C:\Program Files\Microsoft LifeCam\LifeExp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Program Files\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2006-01-12 15:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-06-18 17:44 46592 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a--c--- 2008-01-12 22:55 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX1000]
-ra--c--- 2006-12-06 00:38 707360 C:\WINDOWS\vVX1000.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yxpjnpahc]
c:\windows\system32\yxpjnpahc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)

R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-11-08 19:32]
R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS [2006-09-24 21:14]
R2 MSCamSvc;MSCamSvc;"C:\Program Files\Microsoft LifeCam\MSCamS32.exe" [2007-01-04 23:13]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-20 00:10]
R3 SpyFighter;SpyFighter Guard Device;C:\Program Files\SPYWAREfighter\spyfighter.sys [2007-06-08 11:52]
R3 SPYWAREfighterRP;SPYWAREfighterRP;"C:\Program Files\SPYWAREfighter\spfprc.exe" [2007-06-08 11:52]
R3 VX1000;VX-1000;C:\WINDOWS\system32\DRIVERS\VX1000.sys [2006-12-06 00:39]
S1 PinnacleMicroTV;Pinnacle Systems MicroTV Device;C:\WINDOWS\system32\DRIVERS\MicroTV.sys [2005-07-12 11:51]
S3 BTNetFilter;Bluetooth Network Filter;C:\WINDOWS\system32\drivers\BTNetFilter.sys [2004-12-16 15:32]
S3 fca4a5cf-de0a-4590-9c75-bce4fc2dcc05;fca4a5cf-de0a-4590-9c75-bce4fc2dcc05;E:\Player\cds300.dll []
S3 gel90xne;gel90xne;C:\DOCUME~1\LAETIT~1.DOM\LOCALS~1\Temp\gel90xne.sys []
S3 RescueDrv;Inventel Access Point USB Rescue Driver;C:\WINDOWS\system32\Drivers\resc_dwb.sys [2006-07-07 13:22]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{531c7626-f21f-11db-ae3a-00112f1c7211}]
\Shell\AutoRun\command - H:\LaunchU3.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-13 16:00:25 C:\WINDOWS\Tasks\AC7DC58893E67A34.job"
- c:\docume~1\laetit~1.dom\applic~1\forktr~1\Settings else bone.exe
"2008-01-11 16:37:15 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- D:\Laetitia\tune up utilities\SystemOptimizer.exe
"2008-01-13 15:27:34 C:\WINDOWS\Tasks\User_Feed_Synchronization-{AEA00DF7-9636-462E-A0AB-3A3F952746AE}.job"
- C:\WINDOWS\system32\msfeedssync.exe
"2008-01-13 16:19:13 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
0
Réponse 19 / 29
ep44 Messages postés 7432 Statut Contributeur 3
 
Télécharge:
http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe AVG-AntiSpyware

=> Installer
=> Le lancer
=> Clic : Mise à jour
------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
=> Dans ANALYSE ( en forme de loupe )
=> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
=> Clic : Analyse complète du système
-------
=> à la fin du scan ( qui est assez long)
=> Clic Appliquer toutes les actions <== ceci Très important
=> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
En mode normal
colle le rapport
0
titia
 
kikoo

sniffffffff oui g toujours mes soucis je pensais que c t bon mais nn c pas les "bons" virus qu il m as enlever
0
Réponse 20 / 29
titia
 
kikoo,

je t envoie le rapport mais par contre il a rien trouver

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:43 2008-01-14

+ Résultat de l'analyse:

Rien à signaler.

Fin du rapport
0

Discussions similaires

Virus trouvés
daniel22 -
daniel22 -

19 réponses
hoax ou véritable virus ?
nath -
nath -

5 réponses
COMMENT ENLEVER WIN32 HOAX.RENOS
MIKE0011 -
jlpjlp -

13 réponses
hoax.win32.reno...
jedetestelesvirus -
l'internaute -

2 réponses