Sujet Précédent Sujet Suivant

SOS-PC infecté par un virus ou un spyware

Fermé
Paulo du Plateau Messages postés 5 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 15 mars 2008 - 14 mars 2008 à 18:50
cht! Messages postés 467 Date d'inscription mercredi 2 janvier 2008 Statut Membre Dernière intervention 15 septembre 2008 - 16 mars 2008 à 11:45
Bonjour,

N'ayant pas eu de réponse, je renouvelle mon appel au secours

j'ai des messages toutes les 5mn m'indiquant une "critical system errors" et me demandant de me connecter à "www.regfixit.com" . J'ai pourtant scanné mon PC après avoir mis à jour GData antivirus, AdAware 2007, Spybot-Search & Destroy, SpyrewareBlaster, SpywareGuard, tout ça en vain,rien de trouvé et les messages continuent !

En dernier recours j'ai fait appel à Hijacktis afin que quelq'un puisse m'aider au vu du rapport ci-joint. Merci beaucoup, d'avance . Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:03, on 14/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\G DATA AntiVirus\AVKTray\AVKTray.exe
C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\G DATA AntiVirus\AVK\AVKService.exe
C:\Program Files\G DATA AntiVirus\AVK\AVKWCtl.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA AntiVirus\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA AntiVirus\Webfilter\AvkWebIE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{481D3D8C-6876-4419-9150-B81544852127}: NameServer = 172.30.208.50,172.30.208.51
O17 - HKLM\System\CS1\Services\Tcpip\..\{481D3D8C-6876-4419-9150-B81544852127}: NameServer = 172.30.208.50,172.30.208.51
O17 - HKLM\System\CS2\Services\Tcpip\..\{481D3D8C-6876-4419-9150-B81544852127}: NameServer = 172.30.208.50,172.30.208.51
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: Gardien d'AntiVirus (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
A voir également:

5 réponses

Réponse 1 / 5
cht! Messages postés 467 Date d'inscription mercredi 2 janvier 2008 Statut Membre Dernière intervention 15 septembre 2008 36
14 mars 2008 à 19:00
Salut,

tu peut déja comencer par cocher la ligne suivante et cliquer sur "fixed cheked", ça ne résoudera pas ton probléme mais si tu as une petite conexion tu risque de voir la différence (le résident de spybot se permet d'envoyer 100 mails a la minute pour du spamming de viagra ou je ne sais plus trop quoi)

- O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Tu peut aussi faire des analyses anti spyware avec ad aware, spyboot (aparemment tu les as déja) et aussi rajouter avg Anty spyware ou encore a2 free.

Avant tout Télécharge ceci sur ton bureau :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

Fait un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clic sur navilog1.bat
Laisse toi guider. Au menu principal, choisis 1 et valide

Patiente jusqu'au message :
Analyse Termine le .....
Appuye sur une touche, comme demandé, le bloc note va s'ouvrir
Copie-colle l'intégralité puis poste le contenu ici
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)
0
Paulo du Plateau Messages postés 5 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 15 mars 2008
14 mars 2008 à 19:08
Merci beaucoup pour la rapidité de ta réponse !
Je viens de suivre ton conseil et je ne sais pas encore si le "mal" a disparu.

Je te tiendrai au courant

à plus
0
Paulo du Plateau Messages postés 5 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 15 mars 2008
14 mars 2008 à 20:49
Re bonsoir,

D'abord, je n'ai pas rèussi à le télécharger à cette adresse, il y a un pb. Je l'ai trouvé ailleurs mais méfiant de nature, je l'ai soumis à GData antivirus.... et le résultat :
"not-a-virus : Risk Tool.Win32 Reboot.fr"
J'ai donc continué ma recherche et l'ai trouvé ailleurs et...même résultat ! Vous avez dit bizzare ?
0
Réponse 2 / 5
cht! Messages postés 467 Date d'inscription mercredi 2 janvier 2008 Statut Membre Dernière intervention 15 septembre 2008 36
14 mars 2008 à 19:10
salut, dans mon élan a repondre rapidement j'ai oublié de mettre ceci que j'ai mis en éditant mon messages mais aparemment tu ne l'a pas vu:

Télécharge ceci sur ton bureau :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

Fait un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clic sur navilog1.bat
Laisse toi guider. Au menu principal, choisis 1 et valide

Patiente jusqu'au message :
Analyse Termine le .....
Appuye sur une touche, comme demandé, le bloc note va s'ouvrir
Copie-colle l'intégralité puis poste le contenu ici
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)
0
Réponse 3 / 5
juliane
14 mars 2008 à 19:11
Je croix ke g un virus et je sé pa commen l'enlevé...
pouvé vous m'édé?
Merci d'avence
0
cht! Messages postés 467 Date d'inscription mercredi 2 janvier 2008 Statut Membre Dernière intervention 15 septembre 2008 36
14 mars 2008 à 19:16
Salut, crée ton propre sujet en allant dans la catégorie "forum / forum securité" et en haut de la liste des sujets postés par des personnes comme toi clique sur posez votre question et crée ton "topic'" en expliquant ton probléme pour sue l'on puisse te répondre le plus rapidement et le plus facilement possible ;)
0
Réponse 4 / 5
cht! Messages postés 467 Date d'inscription mercredi 2 janvier 2008 Statut Membre Dernière intervention 15 septembre 2008 36
14 mars 2008 à 20:54
bon je te donne un nouveau lien:
Salut,

tu peut déja comencer par cocher la ligne suivante et cliquer sur "fixed cheked", ça ne résoudera pas ton probléme mais si tu as une petite conexion tu risque de voir la différence (le résident de spybot se permet d'envoyer 100 mails a la minute pour du spamming de viagra ou je ne sais plus trop quoi)

- O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Tu peut aussi faire des analyses anti spyware avec ad aware, spyboot (aparemment tu les as déja) et aussi rajouter avg Anty spyware ou encore a2 free.

Avant tout Télécharge ceci sur ton bureau :
http://www.netcodeur.com/wp-content/navilog11.exe

Fait un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clic sur navilog1.bat
Laisse toi guider. Au menu principal, choisis 1 et valide

Patiente jusqu'au message :
Analyse Termine le .....
Appuye sur une touche, comme demandé, le bloc note va s'ouvrir
Copie-colle l'intégralité puis poste le contenu ici
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)
0
Paulo du Plateau Messages postés 5 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 15 mars 2008
15 mars 2008 à 21:39
ouf, j'ai réussi à trouver Navilog11 et voici le résultat du 1er scan cleannavi :

Clean Navipromo version 2.0.2 commencé le 15/03/2008 à 21:10:18,88

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight



*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 15/03/2008 à 21:14:25,69 ***

Voici maintenant le 2ème scan Fixnavi

Search Navipromo version 2.0.2 commencé le 15/03/2008 à 21:20:30,23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 03/15/08 at 21:20:40.
[-] ERROR: This version of F-Secure BlackLight has expired.
[+] Exited on 03/15/08 at 21:20:40 (return code = 3).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 15/03/2008 à 21:21:38,66 ***
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
cht! Messages postés 467 Date d'inscription mercredi 2 janvier 2008 Statut Membre Dernière intervention 15 septembre 2008 36
16 mars 2008 à 11:45
salut,
télécharge et installe AVG antispyware
Met en quarantaine tout ce qu'il trouve

Ensuite fait un scan en ligne avec panda ou bittorrent
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

(désactive g-data (ton antivirus) avant de lancer le scan) ;)
enjoy
0