Sujet Précédent Sujet Suivant

Xpupdate

tania13 -  
DeNisCoOl Messages postés 2871 Statut Membre -
Bonjour,

Ce week-end chez mo j'ai chopé "xpupdate" avec plusieurs symptômes :
- affichage d'une croix blanche dans un rond rouge dans la barre d'outils en bas à droite avec message sans arrêt comme quoi mon ordi est infecté ...
- je n'ai plus de connection internet
- mon fond d'écran a sauté et je ne peux plus le remettre
- le démarrage est super lent
- je n'ai plus accès au "gestionnaire des tâches" (il me dit que l'administrateur a désactivé ..."

Alors, en bidouillant (je suis très très très novice ... désolée), j'ai supprimé le fichier C:\windows\xpupdate : le rond rouge avec la croix blanche a disparu mais tout le reste ne s'est pas amélioré.

Au secours et merci beaucoup !

19 réponses

Réponse 1 / 19
Utilisateur anonyme
 
bonjour tania13

Télécharge sur le bureau "hijackthis"
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
= Clic-droit sur Hijackthis
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= clic droit sur Hijackthis ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

0
Réponse 2 / 19
tania13
 
Bonsoir M.I.king et merci pour votre super rapide réponse,

J'ai résolu mon pb de connexion internet et voici le rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:30, on 04/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Program Files\BitDownload\TorrentManager.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind64.exe
O4 - HKLM\..\Run: [SystemSv121] C:\WINDOWS\system32\n2ewma1xxsv234.exe
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [curbflap] C:\DOCUME~1\UTILIS~1\APPLIC~1\HOLDFO~1\ref soft acid.exe
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\lnaccess.exe /res
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1651187D-56C5-4503-B1F9-65ED71F100AB}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{1651187D-56C5-4503-B1F9-65ED71F100AB}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: ServiceLayer - Unknown owner - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe (file missing)
0
Réponse 3 / 19
Utilisateur anonyme
 
Télécharge le FixWareout d'un de ces deux sites, sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
https://www.bleepingcomputer.com/download/linux/
Ferme toutes les fenêtres de tous les programmes ouverts.

Lance le Fixwareout.exe: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran.
Il te sera demandé de redémarrer ton ordinateur, fais-le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.
Une fois le scan terminé, un rapport va s'afficher. ==> tu peux en faire un copier/coller et le poster sur ce forum.

Note : [Le bureau sans icône va apparaître ainsi qu'une petite fenêtre ayant pour titre BFU. Clique sur OK et patiente jusqu'à la fin du scan. (Ca peut prendre plusieurs minutes pendant lesquelles tu as l'impression que rien ne se passe. Patiente!)
Quand ton système aura redémarré, suis les invites des messages.]

Poste le rapport de FixWareout. ==> (Il est enregistré dans "Poste de travail" > C:\FixWareout\report.txt).

Poste enfin un nouveau log HijackThis.
0
Réponse 4 / 19
tania13
 
Re bonsoir,

voici le rapport :

Username "UTILISATEUR" - 04/02/2008 20:56:36 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"LTSMMSG"="LTSMMSG.exe"
"AtiPTA"="atiptaxx.exe"
"Apoint"="C:\\Program Files\\Apoint2K\\Apoint.exe"
"LoadFujitsuQuickTouch"="C:\\Program Files\\Fujitsu\\Application Panel\\QuickTouch.exe"
"LoadBtnHnd"="C:\\Program Files\\Fujitsu\\BtnHnd\\BtnHnd.exe"
"IndicatorUtility"="C:\\Program Files\\Fujitsu\\Fujitsu Hotkey Utility\\IndicatorUty.exe"
"ShStatEXE"="\"C:\\Program Files\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Program Files\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
"Network Associates Error Reporting Service"="\"C:\\Program Files\\Fichiers communs\\Network Associates\\TalkBack\\TBMon.exe\""
"nwpruolgq"="c:\\windows\\system32\\nwpruolgq.exe nwpruolgq"
"System"="C:\\WINDOWS\\system32\\kernelwind64.exe"
"SystemSv121"="C:\\WINDOWS\\system32\\n2ewma1xxsv234.exe"
"SystemSv12"="C:\\WINDOWS\\system32\\newmaxxsv234.exe"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
"curbflap"="C:\\DOCUME~1\\UTILIS~1\\APPLIC~1\\HOLDFO~1\\ref soft acid.exe"
"Instant Access"="C:\\WINDOWS\\system32\\lnaccess.exe /res"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

PS mon bûreau est redevenu normal

Cordial !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
tania13
 
et voici le dernier hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:03, on 04/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Program Files\BitDownload\TorrentManager.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind64.exe
O4 - HKLM\..\Run: [SystemSv121] C:\WINDOWS\system32\n2ewma1xxsv234.exe
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [curbflap] C:\DOCUME~1\UTILIS~1\APPLIC~1\HOLDFO~1\ref soft acid.exe
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\lnaccess.exe /res
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1651187D-56C5-4503-B1F9-65ED71F100AB}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{1651187D-56C5-4503-B1F9-65ED71F100AB}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: ServiceLayer - Unknown owner - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe (file missing)
0
Réponse 6 / 19
Utilisateur anonyme
 
ok il reste encore tu travai voici la suite .

Télécharge Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton Bureau .

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche le bloc note va s'ouvrir.

--> Copie-colle l'intégralité du rapport dans une réponse.

Referme le bloc note.

0
Réponse 7 / 19
tania13
 
Bonjour,

Ce message matinal pour vous dire que j'ai dû m'interrompre hier soir de chez moi, mais que je terminerai le truc ce soir ...

Et surtout pour vous dire à quel point je suis émerveillée par ce que les gens comme vous font pour les gens comme moi ! Un grand merci et à + tard.
0
Réponse 8 / 19
tania13
 
Bonsoir

Je viens d'envoyer un message mais ça n'a pas l'air d'avoir marché, je disais que navilog n'avait pas fonctionné (je n'arrive pas au message "analyse terminee" ni au rapport.

En en plus, ce soir l'ordi déconne de nouveau, j'ai des messages de toutes sortes comme quoi mon ordi est infecté ...

Dans mon message précédent qui apparemment n'a pas abouti j'avais noté tout ce qu'il y avait dans la barre de titre du message inquiétant mais je l'ai fermé et pour l'instant il ne revient pas ...

Au secours, pouvez-vous m'aider de nouveau ?

Merci d'avance, à+
0
Réponse 9 / 19
tania13
 
Re-bonsoir,

J'ai relancé navilog1 pour voir, voici ce que j'ai obtenu :

Creation de la liste des programmes installes

Veuillez patienter

Search Navipromo version 3.4.2 commence le 07/02/2008 a 18:51:35,08

!!! Attention,ce rapport peut indiquer des fichiers/programmes legitimes !!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie desinfection sans l'avis d'un specialiste !!!

*** Recherche programmes installes ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans C:\WINDOWS ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans C:\Program Files ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans "C:\Documents and Settings\UTILISATEUR\application d
ata" ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans "C:\Documents and Settings\UTILISATEUR\local setting
s\application data" ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans "C:\Documents and Settings\UTILISATEUR\MENUDM~1\PROG
RA~1" ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

Veuillez patienter

Recherche terminee

*** Recherche avec Catchme par gmer ***
pour + d'infos : http://www.gmer.net

Veuillez patienter ... Le scan peut durer une dizaine de minutes ...

*** Recherche avec GenericNaviSearch ***

Veuillez patienter

GenericNaviCheck v0.2 for IL-MAFIOSO
Credits: Malware Analysis & Diagnostic
Coded by fRoGGz - SecuBox Labs (FRANCE)
┌────────────────────────────────────────────────────────┐
0
Réponse 10 / 19
tania13
 
Bon,

Je viens de faire un nouvel essai et de vous envoyer le texte du titre des intrusions que j'ai sur mon PC et ça fait la deuxième fois que le message ne s'inscrit pas sur le site ...

Je précise que cela me met des raccourcis sur le bureau

Merci
0
Réponse 11 / 19
Utilisateur anonyme
 
bonsoir instal ce pare feu je prepare la suite .

pare-feu :https://www.zonealarm.com/software/free-firewall

tutoriel:https://www.malekal.com/tutoriel-zonealarm-firewall/
0
Réponse 12 / 19
Utilisateur anonyme
 
télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.
0
Réponse 13 / 19
Alex
 
bonsoir,

je me suis mis sur ce forum car l'ordi bugg régulièrement depuis quelques jours, des fenêtres internet s'ouvrent seules, au démarrage de l'ordi on me demande si je veux exécuter "xpupdate.exe", on me propose sans cesse d'analyser l'ordi....
j'ai lu ce qui est arrivé à tania, et j'ai suivi la procédure indiquée par M.L king et je réalise que je n'aurai peutêtre pas dû faire çà seul mais c'est fait,

vous trouverez donc ci après les différents rapports reçus suite aux étapes indiquées par M.Lking :

1ère étape :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:45, on 22/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Norton Internet Security\ISSVC.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ARPWRMSG.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\HP\KBD\KBD.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ntvdm.exe
c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://safesearch.cyberdefender.com/smallsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: CyberDefender safeSEARCH - {F35CE83E-9EBF-40d5-AE87-53F982389740} - C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\CyberDefender\ssstbar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {68FF9E0F-2E96-4467-87FA-1A8B9734C7E7} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: CyberDefender safeSEARCH - {F35CE83E-9EBF-40d5-AE87-53F982389740} - C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\CyberDefender\ssstbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [c87e115c] rundll32.exe "C:\WINDOWS\system32\ergsfyjg.dll",b
O4 - HKLM\..\Run: [BMcb4d22c0] Rundll32.exe "C:\WINDOWS\system32\bsjlxqoc.dll",s
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Documents and Settings\HP_Administrateur\Bureau\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 14 / 19
Utilisateur anonyme
 
bonsoir , c'est un peu risqué ce que tu as fait , la plupar des outils que tu as utilisées n'ont rien fait !

tu as une infection vundo voici une procedure

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" n'est pas coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

ensuite

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

je regarde les rapports demain et t'en tiens informée .

amicalement ,

Martin .
0
Alex
 
Bonjour Martin,

ci-après le rapport combofix :


ComboFix 08-05-21.3 - HP_Administrateur 2008-05-23 1:34:43.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.472 [GMT 2:00]
Endroit: C:\Documents and Settings\HP_Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMcb4d22c0.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\athmbexn.exe
C:\WINDOWS\system32\bpljfrxk.ini
C:\WINDOWS\system32\epufjjtg.exe
C:\WINDOWS\system32\fuqnbhyl.exe
C:\WINDOWS\system32\hkieiref.exe
C:\WINDOWS\system32\iyndqisy.exe
C:\WINDOWS\system32\kdstnouc.ini
C:\WINDOWS\system32\lallukyr.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ngaodqkf.exe
C:\WINDOWS\system32\rpbqeqal.ini
C:\WINDOWS\system32\uscyvqdc.ini
C:\WINDOWS\system32\VELooUvw.ini
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NAVAPSVC
-------\Service_navapsvc


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-22 to 2008-05-22 ))))))))))))))))))))))))))))))))))))
.

2008-05-22 23:57 . 2008-05-22 23:57 <REP> d-------- C:\Documents and Settings\HP_Administrateur\Application Data\Malwarebytes
2008-05-22 23:57 . 2008-05-22 23:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-22 23:56 . 2008-05-22 23:57 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-22 23:56 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-22 23:56 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-22 20:21 . 2008-05-22 20:21 96,256 --a------ C:\WINDOWS\system32\nnbuorif.dll
2008-05-22 20:18 . 2008-05-23 01:22 80,896 --------- C:\WINDOWS\system32\jnbpiddp.dll
2008-05-22 20:17 . 2008-05-22 20:47 <REP> d-------- C:\Program Files\Navilog1
2008-05-22 19:57 . 2008-05-22 20:07 <REP> d-------- C:\fixwareout
2008-05-22 19:49 . 2008-05-22 19:49 <REP> d-------- C:\Program Files\Trend Micro
2008-05-22 19:49 . 2008-05-22 19:50 110,574 --a------ C:\WINDOWS\~DF3F6.tmp
2008-05-21 20:33 . 2008-05-21 20:33 95,744 --a------ C:\WINDOWS\system32\rumjrpuj.dll
2008-05-21 20:18 . 2008-05-21 20:18 90,624 --a------ C:\WINDOWS\system32\bsjlxqoc.dll
2008-05-20 20:26 . 2008-05-20 20:26 95,744 --a------ C:\WINDOWS\system32\jbhjpsrx.dll
2008-05-20 20:17 . 2008-05-20 20:17 90,624 --a------ C:\WINDOWS\system32\rftmlwov.dll
2008-05-19 20:31 . 2008-05-19 20:31 <REP> d--hs---- C:\Documents and Settings\LocalService\UserData
2008-05-19 20:24 . 2008-05-19 20:24 95,744 --a------ C:\WINDOWS\system32\oeoqvnpc.dll
2008-05-19 20:19 . 2008-05-19 20:19 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-05-19 20:19 . 2008-05-19 20:19 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\Symantec
2008-05-19 20:18 . 2008-05-19 20:18 90,624 --a------ C:\WINDOWS\system32\wdtckfyo.dll
2008-05-18 09:49 . 2008-05-18 09:49 94,720 --a------ C:\WINDOWS\system32\sbjrcpif.dll
2008-05-18 09:40 . 2008-05-18 09:40 90,624 --a------ C:\WINDOWS\system32\ggjgckmq.dll
2008-05-17 13:14 . 2008-05-17 13:14 94,720 --a------ C:\WINDOWS\system32\wclteytv.dll
2008-05-17 13:11 . 2008-05-17 13:11 90,624 --a------ C:\WINDOWS\system32\jhvujufq.dll
2008-05-17 01:05 . 2008-05-23 01:22 280,064 --------- C:\WINDOWS\system32\wvUooLEV.dll
2008-05-17 01:00 . 2008-05-23 01:22 30,720 --------- C:\WINDOWS\system32\urqOEuSk.dll
2008-05-11 22:02 . 2008-05-23 01:40 2,185,248 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-11 22:02 . 2008-05-23 01:40 7,748 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-11 21:57 . 2008-05-11 21:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-05-11 21:57 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-05-11 21:57 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-05-11 21:57 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-05-11 21:57 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-05-11 21:57 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-05-11 21:39 . 2007-12-13 19:27 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2008-04-23 19:18 . 2008-05-23 01:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-23 19:18 . 2008-04-23 19:18 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 21:58 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-05-22 19:56 --------- d-----w C:\Program Files\WinamaxPoker
2008-05-09 10:26 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\Canon
2008-04-12 14:56 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-07 15:19 52,976 ----a-w C:\Documents and Settings\HP_Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2007-04-02 15:45 4,096 ----a-w C:\Documents and Settings\HP_Administrateur\log.dat
2006-08-05 12:38 634,880 ----a-w C:\Documents and Settings\HP_Administrateur\chatlnk.exe
2004-11-09 20:53 45,056 ----a-w C:\Documents and Settings\Image Zone Express\HP_IZE.dll
2004-11-09 16:26 1,347,584 ----a-w C:\Documents and Settings\Image Zone Express\SharePlg.dll
2004-11-09 15:09 69,632 ----a-w C:\Documents and Settings\Image Zone Express\ViewRes.dll
2004-11-09 15:09 53,248 ----a-w C:\Documents and Settings\Image Zone Express\IZERes.dll
2004-11-09 15:09 53,248 ----a-w C:\Documents and Settings\Image Zone Express\FixRes.dll
2004-11-09 15:09 49,152 ----a-w C:\Documents and Settings\Image Zone Express\PrintRes.dll
2004-11-09 15:09 49,152 ----a-w C:\Documents and Settings\Image Zone Express\CreatRes.dll
2004-11-09 15:09 45,056 ----a-w C:\Documents and Settings\Image Zone Express\ShareRes.dll
2004-11-09 14:35 1,449,984 ----a-w C:\Documents and Settings\Image Zone Express\fermataU.dll
2004-11-09 12:55 802,816 ----a-w C:\Documents and Settings\Image Zone Express\ViewPlg.dll
2004-11-09 12:55 172,032 ----a-w C:\Documents and Settings\Image Zone Express\PrintPlg.dll
2004-11-09 12:54 491,520 ----a-w C:\Documents and Settings\Image Zone Express\FixPlg.dll
2004-11-09 12:54 241,664 ----a-w C:\Documents and Settings\Image Zone Express\CreatPlg.dll
2004-11-09 12:51 582,816 ----a-w C:\Documents and Settings\Image Zone Express\HP_IZE.exe
2004-10-26 23:58 106,496 ----a-w C:\Documents and Settings\Image Zone Express\hpqishtm.dll
2004-09-17 07:59 131,072 ----a-w C:\Documents and Settings\Image Zone Express\hpqca.dll
2004-07-30 20:19 249,856 ----a-w C:\Documents and Settings\Image Zone Express\MSLURT.dll
2004-07-30 19:45 245,408 ----a-w C:\Documents and Settings\Image Zone Express\UnicoWS.dll
2003-12-17 21:15 126,976 ----a-w C:\Documents and Settings\Image Zone Express\hphfyiel.dll
2007-09-05 16:02 56 --sh--r C:\WINDOWS\system32\319C84A844.sys
2007-09-05 16:02 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cf0d4d27-2a56-4919-ab01-e1b16e538d46}]
2008-05-22 20:21 96256 --a------ C:\WINDOWS\system32\nnbuorif.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-14 01:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-31 23:46 68856]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 21:34 64512]
"ftutil2"="ftutil2.dll" [2004-06-07 22:05 106496 C:\WINDOWS\system32\ftutil2.dll]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 03:15 77312 C:\WINDOWS\arpwrmsg.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 18:04 52736]
"RTHDCPL"="RTHDCPL.EXE" [2005-10-15 02:51 14864384 C:\WINDOWS\RTHDCPL.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-08-02 17:30 7110656]
"nwiz"="nwiz.exe" [2005-08-02 17:30 1519616 C:\WINDOWS\system32\nwiz.exe]
"HPHUPD08"="c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 08:35 49152]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-03 01:44 61440]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 23:14 237568]
"PCDrProfiler"="" []
"ccApp"="c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-12 14:39 58992]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2004-10-26 00:17 90112]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2002-12-17 11:40 49152]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-03-04 23:30 100056]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-02 18:19 180269]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-05-07 21:56 188416]
"HPHUPD05"="C:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-05-23 05:03 49152]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-04-08 12:45 212992]
"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2003-05-23 04:56 483328]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 19:14 35328]
"Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 12:38 49152]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 16:27 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 04:22 267048]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Documents and Settings\\HP_Administrateur\\Mes documents\\Ma musique\\Nouveau dossier\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-10-03 22:57]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-10 21:00]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Documents and Settings\HP_Administrateur\Bureau\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 PCD5SRVC{085326CB-51A3560A-05010003};PCD5SRVC{085326CB-51A3560A-05010003} - PCDR Kernel Mode Service Helper Driver;C:\PROGRA~1\PC-DOC~1\PCD5SRVC.pkms [2005-09-08 09:23]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-21 19:32:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-08 07:06:07 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#7600#MY37V222V0J9.job"
- C:\Program Files\HP\hpcoretech\comp\hpdarc.exe$/#Hewlett-Packard#7600#MY37V222V0J9
"2008-05-22 23:06:10 C:\WINDOWS\Tasks\HP Usg Daily.job"
- C:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\pexpress\hphped05.exe
"2008-05-22 22:00:03 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
"2008-05-16 22:53:49 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - HP_Administrateur.job"
- c:\PROGRA~1\NORTON~1\NORTON~1\NAVW32.EXE
"2007-09-11 20:28:42 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-23 01:42:48
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCD5SRVC{085326CB-51A3560A-05010003}]
"ImagePath"="\??\C:\PROGRA~1\PC-DOC~1\PCD5SRVC.pkms"
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Symantec Shared\CCPROXY.EXE
C:\Program Files\Fichiers communs\Symantec Shared\CCSETMGR.EXE
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCEVTMGR.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\symwsc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-23 1:51:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-22 23:51:26

Pre-Run: 128,790,151,168 octets libres
Post-Run: 134,138,368,000 octets libres

244 --- E O F --- 2008-05-22 23:51:15



A noter que malware a détecté 38 éléments infectés mais lorsque j'ai demandé la suppression de ceux ci tous n'ont pas été squizzés, il m'a demandé de relancer l'ordi pour les faires disparaitre, ce que j'ai fait mais je ne suis pas convaincu de la chose étant donné qu'au redémarrage rien n'a été lancé par malware.


D'ores et déjà merci pour ton intervention à distance,
je ne sais pas si c'est une passion ou ton boulot mais Chapeau.


"I have a dream....."


Alex
0
Réponse 15 / 19
DeNisCoOl Messages postés 2871 Statut Membre 224
 
salut Alex,

Désolé pour le retard Martin nous a demandé de suivre ses post donc me voici.

mais je ne suis pas convaincu de la chose étant donné qu'au redémarrage rien n'a été lancé par malware.
La suppression est invisible tu peux essayer de relancer une analyse si tu le désires.

En attendant pour la suite de combofix
------------------------------
Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :


File::
C:\WINDOWS\system32\nnbuorif.dll
C:\WINDOWS\system32\jnbpiddp.dll
C:\WINDOWS\system32\ergsfyjg.dll
C:\WINDOWS\system32\bsjlxqoc.dll
C:\WINDOWS\~DF3F6.tmp
C:\WINDOWS\system32\oeoqvnpc.dll
C:\WINDOWS\system32\wdtckfyo.dll
C:\WINDOWS\system32\sbjrcpif.dll
C:\WINDOWS\system32\ggjgckmq.dll
C:\WINDOWS\system32\wclteytv.dll
C:\WINDOWS\system32\jhvujufq.dll
C:\WINDOWS\system32\wvUooLEV.dll
C:\WINDOWS\system32\urqOEuSk.dll
C:\WINDOWS\system32\nnbuorif.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cf0d4d27-2a56-4919-ab01-e1b16e538d46}]



Enregistre ce fichier sous le nom CFScript

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme montré sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
* Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
* Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne toucher à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.

* Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt

------------
- Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: CyberDefender safeSEARCH - {F35CE83E-9EBF-40d5-AE87-53F982389740} - C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\CyberDefender\ssstbar.dll
O3 - Toolbar: (no name) - {68FF9E0F-2E96-4467-87FA-1A8B9734C7E7} - (no file)
O3 - Toolbar: CyberDefender safeSEARCH - {F35CE83E-9EBF-40d5-AE87-53F982389740} - C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\CyberDefender\ssstbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [c87e115c] rundll32.exe "C:\WINDOWS\system32\ergsfyjg.dll",b
O4 - HKLM\..\Run: [BMcb4d22c0] Rundll32.exe "C:\WINDOWS\system32\bsjlxqoc.dll",s
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo)
 http://pageperso.aol.fr/balltrap34/demohijack.htm
Fermer toutes tes applications et ton navigateur puis fix checked.

Pour faciliter l’archivage et la consultation de vos messages, vous pouvez vous identifier avec mot de passe, l’inscription est gratuite (en haut à droite).

A+

Denis
0
Alex
 
bonjour Denis,

merci d'assurer le relais, ci-après le rapport combofix :

ComboFix 08-05-21.3 - HP_Administrateur 2008-05-25 12:57:32.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.367 [GMT 2:00]
Endroit: C:\Documents and Settings\HP_Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\HP_Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\WINDOWS\~DF3F6.tmp
C:\WINDOWS\system32\bsjlxqoc.dll
C:\WINDOWS\system32\ergsfyjg.dll
C:\WINDOWS\system32\ggjgckmq.dll
C:\WINDOWS\system32\jhvujufq.dll
C:\WINDOWS\system32\jnbpiddp.dll
C:\WINDOWS\system32\nnbuorif.dll
C:\WINDOWS\system32\oeoqvnpc.dll
C:\WINDOWS\system32\sbjrcpif.dll
C:\WINDOWS\system32\urqOEuSk.dll
C:\WINDOWS\system32\wclteytv.dll
C:\WINDOWS\system32\wdtckfyo.dll
C:\WINDOWS\system32\wvUooLEV.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\~DF3F6.tmp
C:\WINDOWS\system32\bsjlxqoc.dll
C:\WINDOWS\system32\ggjgckmq.dll
C:\WINDOWS\system32\jhvujufq.dll
C:\WINDOWS\system32\jnbpiddp.dll
C:\WINDOWS\system32\nnbuorif.dll
C:\WINDOWS\system32\oeoqvnpc.dll
C:\WINDOWS\system32\sbjrcpif.dll
C:\WINDOWS\system32\urqOEuSk.dll
C:\WINDOWS\system32\wclteytv.dll
C:\WINDOWS\system32\wdtckfyo.dll
C:\WINDOWS\system32\wvUooLEV.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NAVAPSVC
-------\Service_navapsvc


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-25 to 2008-05-25 ))))))))))))))))))))))))))))))))))))
.

2008-05-24 15:46 . 2008-05-24 15:46 <REP> d-------- C:\VundoFix Backups
2008-05-22 23:57 . 2008-05-22 23:57 <REP> d-------- C:\Documents and Settings\HP_Administrateur\Application Data\Malwarebytes
2008-05-22 23:57 . 2008-05-22 23:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-22 23:56 . 2008-05-22 23:57 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-22 23:56 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-22 23:56 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-22 20:17 . 2008-05-22 20:47 <REP> d-------- C:\Program Files\Navilog1
2008-05-22 19:57 . 2008-05-22 20:07 <REP> d-------- C:\fixwareout
2008-05-22 19:49 . 2008-05-22 19:49 <REP> d-------- C:\Program Files\Trend Micro
2008-05-21 20:33 . 2008-05-21 20:33 95,744 --a------ C:\WINDOWS\system32\rumjrpuj.dll
2008-05-20 20:26 . 2008-05-20 20:26 95,744 --a------ C:\WINDOWS\system32\jbhjpsrx.dll
2008-05-20 20:17 . 2008-05-20 20:17 90,624 --a------ C:\WINDOWS\system32\rftmlwov.dll
2008-05-19 20:31 . 2008-05-19 20:31 <REP> d--hs---- C:\Documents and Settings\LocalService\UserData
2008-05-19 20:19 . 2008-05-19 20:19 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-05-19 20:19 . 2008-05-19 20:19 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\Symantec
2008-05-11 22:02 . 2008-05-25 13:03 2,185,248 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-11 22:02 . 2008-05-25 13:03 10,964 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-11 21:57 . 2008-05-11 21:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-05-11 21:57 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-05-11 21:57 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-05-11 21:57 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-05-11 21:57 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-05-11 21:57 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-05-11 21:39 . 2007-12-13 19:27 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 21:58 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-05-22 19:56 --------- d-----w C:\Program Files\WinamaxPoker
2008-05-09 10:26 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\Canon
2008-04-12 14:56 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-07 15:19 52,976 ----a-w C:\Documents and Settings\HP_Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2007-04-02 15:45 4,096 ----a-w C:\Documents and Settings\HP_Administrateur\log.dat
2006-08-05 12:38 634,880 ----a-w C:\Documents and Settings\HP_Administrateur\chatlnk.exe
2004-11-09 20:53 45,056 ----a-w C:\Documents and Settings\Image Zone Express\HP_IZE.dll
2004-11-09 16:26 1,347,584 ----a-w C:\Documents and Settings\Image Zone Express\SharePlg.dll
2004-11-09 15:09 69,632 ----a-w C:\Documents and Settings\Image Zone Express\ViewRes.dll
2004-11-09 15:09 53,248 ----a-w C:\Documents and Settings\Image Zone Express\IZERes.dll
2004-11-09 15:09 53,248 ----a-w C:\Documents and Settings\Image Zone Express\FixRes.dll
2004-11-09 15:09 49,152 ----a-w C:\Documents and Settings\Image Zone Express\PrintRes.dll
2004-11-09 15:09 49,152 ----a-w C:\Documents and Settings\Image Zone Express\CreatRes.dll
2004-11-09 15:09 45,056 ----a-w C:\Documents and Settings\Image Zone Express\ShareRes.dll
2004-11-09 14:35 1,449,984 ----a-w C:\Documents and Settings\Image Zone Express\fermataU.dll
2004-11-09 12:55 802,816 ----a-w C:\Documents and Settings\Image Zone Express\ViewPlg.dll
2004-11-09 12:55 172,032 ----a-w C:\Documents and Settings\Image Zone Express\PrintPlg.dll
2004-11-09 12:54 491,520 ----a-w C:\Documents and Settings\Image Zone Express\FixPlg.dll
2004-11-09 12:54 241,664 ----a-w C:\Documents and Settings\Image Zone Express\CreatPlg.dll
2004-11-09 12:51 582,816 ----a-w C:\Documents and Settings\Image Zone Express\HP_IZE.exe
2004-10-26 23:58 106,496 ----a-w C:\Documents and Settings\Image Zone Express\hpqishtm.dll
2004-09-17 07:59 131,072 ----a-w C:\Documents and Settings\Image Zone Express\hpqca.dll
2004-07-30 20:19 249,856 ----a-w C:\Documents and Settings\Image Zone Express\MSLURT.dll
2004-07-30 19:45 245,408 ----a-w C:\Documents and Settings\Image Zone Express\UnicoWS.dll
2003-12-17 21:15 126,976 ----a-w C:\Documents and Settings\Image Zone Express\hphfyiel.dll
2007-09-05 16:02 56 --sh--r C:\WINDOWS\system32\319C84A844.sys
2007-09-05 16:02 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-23_ 1.50.53.21 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-22 23:41:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-25 11:04:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-06 05:56:20 19,836,024 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-05-09 21:35:04 16,863,864 ----a-w C:\WINDOWS\system32\MRT.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-14 01:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-31 23:46 68856]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 21:34 64512]
"ftutil2"="ftutil2.dll" [2004-06-07 22:05 106496 C:\WINDOWS\system32\ftutil2.dll]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 03:15 77312 C:\WINDOWS\arpwrmsg.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 18:04 52736]
"RTHDCPL"="RTHDCPL.EXE" [2005-10-15 02:51 14864384 C:\WINDOWS\RTHDCPL.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-08-02 17:30 7110656]
"nwiz"="nwiz.exe" [2005-08-02 17:30 1519616 C:\WINDOWS\system32\nwiz.exe]
"HPHUPD08"="c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 08:35 49152]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-03 01:44 61440]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 23:14 237568]
"PCDrProfiler"="" []
"ccApp"="c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-12 14:39 58992]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2004-10-26 00:17 90112]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2002-12-17 11:40 49152]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-03-04 23:30 100056]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-02 18:19 180269]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-05-07 21:56 188416]
"HPHUPD05"="C:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-05-23 05:03 49152]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-04-08 12:45 212992]
"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2003-05-23 04:56 483328]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 19:14 35328]
"Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 12:38 49152]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 16:27 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 04:22 267048]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Documents and Settings\\HP_Administrateur\\Mes documents\\Ma musique\\Nouveau dossier\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-10-03 22:57]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-10 21:00]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Documents and Settings\HP_Administrateur\Bureau\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 PCD5SRVC{085326CB-51A3560A-05010003};PCD5SRVC{085326CB-51A3560A-05010003} - PCDR Kernel Mode Service Helper Driver;C:\PROGRA~1\PC-DOC~1\PCD5SRVC.pkms [2005-09-08 09:23]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-21 19:32:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-08 07:06:07 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#7600#MY37V222V0J9.job"
- C:\Program Files\HP\hpcoretech\comp\hpdarc.exe$/#Hewlett-Packard#7600#MY37V222V0J9
"2008-05-25 11:06:20 C:\WINDOWS\Tasks\HP Usg Daily.job"
- C:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\pexpress\hphped05.exe
"2008-05-24 14:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
"2008-05-16 22:53:49 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - HP_Administrateur.job"
- c:\PROGRA~1\NORTON~1\NORTON~1\NAVW32.EXEh/task:
"2007-09-11 20:28:42 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 13:04:58
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCD5SRVC{085326CB-51A3560A-05010003}]
"ImagePath"="\??\C:\PROGRA~1\PC-DOC~1\PCD5SRVC.pkms"
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Symantec Shared\CCPROXY.EXE
C:\Program Files\Fichiers communs\Symantec Shared\CCSETMGR.EXE
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCEVTMGR.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\symwsc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-25 13:10:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-25 11:10:46
ComboFix2.txt 2008-05-22 23:51:37

Pre-Run: 133,875,732,480 octets libres
Post-Run: 133,918,535,680 octets libres

246 --- E O F --- 2008-05-22 23:51:15



je vais maintenant relancer hiJackthis

à te lire

Alex
0
xAli Babax Messages postés 1 Statut Membre
 
Denis,

j'ai relancé hijacxthis en prenant soin de cocher les lignes indiquées SAUF 2 qui n'étaient pas listées, à savoir :

O4 - HKLM\..\Run: [c87e115c] rundll32.exe "C:\WINDOWS\system32\ergsfyjg.dll",b
O4 - HKLM\..\Run: [BMcb4d22c0] Rundll32.exe "C:\WINDOWS\system32\bsjlxqoc.dll",s


voilà pour ce dimanche !


kenavo

Alex
0
Réponse 16 / 19
DeNisCoOl Messages postés 2871 Statut Membre 224
 
salut Ali Baba,

- j'ai relancé hijacxthis en prenant soin de cocher les lignes indiquées SAUF 2 qui n'étaient pas listées, à savoir :
Combofix avait déjà enlevé la dll associé à ces lignes, pas de problème.

Où en est xpupdate? D'autres symptômes?

Pour terminer

Exécuter et Télécharger Spybot, CCleaner
------------------------
1a- Cliquer sur Spybot pour télécharger la dernière version 1.5 (septembre 2007)
Après installation cliquer sur Rechercher les Mises à Jour, cocher les MàJ , télécharger les MàJ.

La première fois redémarrer en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): image menu M.S.E.
Si problème consulter le Tuto ici

Redémarrer Spybot, cliquer sur Vérifier tout, Purger les éléments sélectionner, puis ***Vacciner***
Le tutorial très complet http://www.safer-networking.org/fr/tutorial/index.html

1b- Cliquer sur Spywareblaster pour le télécharger
Après l’installation et la configuration, il suffit de faire les mises à jour il s’occupe du reste.
Le tutorial très complet ICI (merci à 01net.com)

------------------------
2- Cliquer CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.

Pendant l'installation si vous avez déjà une barre de recherche, alors décocher l'ajout de la barre yahoo.
Son tutorial ICI
Ensuite dans Options / Avancés, décocher : effacer uniquement les fichiers du répertoires temp de Windows de plus vieux que 48h.

Bouton Nettoyer (s’assurer que dans l’onglet Windows la case Avancé est décoché), cliquer sur Analyse laisser travailler cela peut être très long ensuite cliquer sur Lancer le nettoyage.

Ensuite sur le bouton Registre (s’assurer que Intégrité du registre est coché) répéter 2 fois les étapes suivantes:
Chercher les erreurs- Réparer les erreurs sélectionnées
Ne pas oublier de sauvegarder au cas où il supprimerait une mauvaise clef (peu probable).

Fichier de sauvegarde à effacer plus tard s’il n’y a pas de problème par la suite.

------------------------
3- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre jaune clair qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
Kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Utile à rajouter dans ses favoris)

Coller le rapport si il y a détection d'une infection autre que des cookies.

A+ Vive les bretons ;-)

Denis
0
Alex
 
Denis,

pour ce qui est d'xpupdate, il n'est plus proposé au démarrage de l'ordi, et pour les symptômes : quasiment plus de fenêtres publicitaires intempestives (avant les dernières manip que tu m'as indiquées).

j'ai eu un peu de mal à suivre le process que tu m'as envoyé j'ai laissé ce soir le scan de skapersky s'occuper de balayer le C:
je le laisse mouliner,
je verrai demain matin ce qu'il en est et t'en aviserai.

bye et merci

Alex
0
Réponse 17 / 19
DeNisCoOl Messages postés 2871 Statut Membre 224
 
Alex,

Ok j'attends ton rapport.

Pour éviter les popup:

Je vous conseillerais Firefox, plus sure, plus rapide et plus souple que IExplorer : http://www.mozilla-europe.org/fr/products/firefox/

* Pour les cookies s'assurer de tout est correctement configurer, Outils / Options / Vie privée >
* Cookies / Les conserver jusqu'à : la fermeture de firefox.
* Vie privée cocher : Toujours effacer mes informations personnelles à la fermeture de Firefox.

Voici un lien pour encore mieux optimiser la vitesse de navigation:
http://www.commentcamarche.net/faq/sujet 852 firefox optimisation ameliorer les performances
ou automatiquement regarder ici:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/31802.html

A+
0
ALEX
 
BONJOUR Denis,

tu trouveras ci-après le rapport kaspersky, il semble que le problème est résolu grâce à vos bons conseils, j'attends quand même votre confirmation d'expert.

Merci pour les conseils pour les cookies et autres astuces de navigation,

je reviendrai sans doute d'ici quelques jours vers vous et vos compétences car j'ai un portable planté depuis 3 mois dont je ne me sers plus (disparition du paxk office, impossibilité d'en installer un nouveau....).

Encore merci,

Alex
0
ALEX
 
j'avais oublié le rapport ...... :



KASPERSKY ON-LINE SCANNER REPORT
Monday, May 26, 2008 9:13:13 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 25/05/2008
Enregistrements dans la base antivirus Kaspersky : 713327


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Zones critiques
C:\WINDOWS
C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\

Statistiques de l'analyse
Total d'objets analysés 28211
Nombre de virus trouvés 0
Nombre d'objets infectés 0 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:19:28

Nom de l'objet infecté Nom du virus Dernière action
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\VERONIQUE.ldb L'objet est verrouillé ignoré

C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{B7F3FBEE-6A05-4BCC-8AB1-25A438C0C83E}.crmlog L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{270AD7E8-1262-40AA-A0D8-742F9EA0D4F0}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT06d9c.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT06da0.TMP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\hpodvd09.log L'objet est verrouillé ignoré

C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\_hphtra07.log L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 18 / 19
DeNisCoOl Messages postés 2871 Statut Membre 224
 
salut,

Kaspersky n'a rien trouvé bonne nouvelle, tout est bon vous pourrez cocher le problème comme résolu et valider en haut de votre premier message.

Pour terminer
------------------------
4- ToolsCleaner de A.Rothstein
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau.
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)

------------------------
5- Mises à jours en particulier Adobe, Flash, et autres programmes.
Updatechecker : https://filehippo.com/windows/tuning-utilities/
Quelques détails ici pour l’installation en particulier de Framework:
http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour#update checker la solution

Pour les mises à Jour Java en particulier ici une version online de Secunia en anglais, mais il y a juste 1 ou 2 boutons à cliquer :
https://www.flexera.com/products/operations/software-vulnerability-management.html
Une petite explication dans ce lien (merci malekal).

Et bien entendu windows update:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

Bon surf, bye bye

Denis
0
ALEX
 
bonjour Denis,

il n'y a plus de fenêtres intempestives,
tu m'as demandé de valider la résolution du problème mais je ne sais pas comment faire, cela vient il du fait que je me suis greffé à la discussion de Tania ?

encore merci

à + sur les ondes


Alex
0
Réponse 19 / 19
DeNisCoOl Messages postés 2871 Statut Membre 224
 
Alex,

Oui c'est ça j'avais oublié ;-)
Une bonne chose de faite alors.

Bye bye et bon surf

Denis
0