TuneUP en sessions Non Administrateur

Résolu
JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour à tous,

J'ai des applications qui fonctionnaient dans les sessions en mode limité il y a quelques jours, et depuis hier le mode Administrateur est nécessaire pour les utiliser normalement. Il s'agit de:
- TuneUp utilities 2008, la maintenance en 1 clic se fait, mais à la fin du processus, un pop message m'indique que la connexion au service TunUp Drive Defrag, ne peut être établie. Ca ne fonctionne plus qu'en mode Administratuer.
De la même façon je ne peut lancer la page d'accueil de TuneUp Utilities qu'en étant en administrateur.

- Même souci avec mon imprimante. Pour numériser ou copier des photos, je dois maintenant passer par la session administrateur....

Tout ceci après avoir fait du ménage suite à une petite infection par Win32/Zlob.....J'utilise NORTON Internet Security 2007.

Merci d'avance si quelqu'un peut aider.

Cordialement.
Configuration: Windows XP SP2 NORTON
Firefox 2.0.0.12

16 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    1
    1. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
       
      Bonsoir jlpjlp,

      Désolé, je n'ai pas suivi tout à fait tes directives car j'ai eu un petit souci en essayant de downloader la version 2.02. J'ai donc utilisé, n'étant un vraiment pro, une version antérieure que j'avais et qui fonctionne; il s'agit de le version 1.99.1 . Je te joins donc le rapport en espérant que tu pourras l'exploiter malgré tout.

      Merci d'avance pour ton aide.

      Cordialement

      Logfile of HijackThis v1.99.1
      Scan saved at 19:11:33, on 20/03/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16608)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Ahead\InCD\InCDsrv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\Program Files\Kodak\printer\center\KodakSvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      J:\Program Files\3ds max\mentalray\satellite\raysat_3dsmax8server.exe
      C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      C:\WINDOWS\system32\svchost.exe
      c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\MSN Messenger\usnsvc.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
      O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
      O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - Global Startup: Logiciel Kodak EasyShare.lnk.disabled
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
      O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
      O11 - Options group: [INTERNATIONAL] International*
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
      O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Unknown owner - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
      O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
      O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
      O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - J:\Program Files\bin\iPodService.exe
      O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
      O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)
      O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Program Files\Kodak\printer\center\KodakSvc.exe
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
      O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
      O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - J:\Program Files\3ds max\mentalray\satellite\raysat_3dsmax8server.exe
      O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
      O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
      O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
      O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    # Télécharge RavAntivirus d'Evosla :
    http://ww25.evosla.com/compteur.php?soft=rav_antivirus

    # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
    # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
    # Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
    # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
    # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
    # Retire tes disques amovibles et redémarrez votre ordinateur.
    # Poste le rapport, si infection!

    ____________

    Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    ______________

    smit fraud fix (colle le rapport)

    1/ telecharger :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.
    1
    1. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
       
      J'ai lancé l'application qui tourne depuis 20 min environ, sans ne rien indiquer de particulier pour l'instant. Est- ce bon signe où fat il attendre le fin du scan pour savoir? Combien de temps cela peut il durer?

      Je vais aller diner A tout à l'heure.

      Merci pour ton aide
      0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    saute rav alors et passe a la suite

    a plus
    1
    1. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
       
      Voilà, je te postes le rapport.

      C'est grave docteur?

      Merci et à bientôt.

      Cordialement

      ComboFix 08-03-18.1 - Administrateur PC 2008-03-20 21:19:18.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.584 [GMT 1:00]
      Endroit: C:\Documents and Settings\Administrateur PC\Bureau\Tueur Zl.exe
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\WINDOWS\system32\_000008_.tmp.dll
      C:\WINDOWS\system32\_000009_.tmp.dll

      .
      ((((((((((((((((((((((((((((( Fichiers créés 2008-02-20 to 2008-03-20 ))))))))))))))))))))))))))))))))))))
      .

      2008-03-20 11:22 . 2008-03-20 14:24 156 --a------ C:\WINDOWS\Twunk001.MTX
      2008-03-20 11:22 . 2008-03-20 14:24 3 --a------ C:\WINDOWS\Twain001.Mtx
      2008-03-20 11:22 . 2008-03-20 11:22 0 --a------ C:\WINDOWS\Twunk002.MTX
      2008-03-19 22:34 . 2008-03-19 22:37 <REP> d-------- C:\Program Files\Windows Live Safety Center
      2008-03-18 12:39 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
      2008-03-18 12:39 . 2008-03-14 09:09 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
      2008-03-18 12:39 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
      2008-03-18 12:39 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
      2008-03-13 08:53 . 2008-03-13 08:53 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
      2008-03-13 08:53 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
      2008-03-07 14:03 . 2008-03-07 14:03 625,032 --a------ C:\WINDOWS\system32\SymNeti.dll
      2008-03-07 14:03 . 2008-03-07 14:03 242,056 --a------ C:\WINDOWS\system32\SymRedir.dll
      2008-03-07 13:40 . 2008-03-07 13:40 13,035 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
      2008-03-07 13:40 . 2008-03-07 13:40 1,358 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
      2008-03-07 13:39 . 2008-03-07 13:39 191,536 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
      2008-03-07 13:39 . 2008-03-07 13:39 145,968 --a------ C:\WINDOWS\system32\drivers\symfw.sys
      2008-03-07 13:39 . 2008-03-07 13:39 39,984 --a------ C:\WINDOWS\system32\drivers\symids.sys
      2008-03-07 13:39 . 2008-03-07 13:39 37,936 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
      2008-03-07 13:39 . 2008-03-07 13:39 35,120 --a------ C:\WINDOWS\system32\drivers\symndis.sys
      2008-03-07 13:39 . 2008-03-07 13:39 27,696 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
      2008-03-07 13:39 . 2008-03-07 13:39 12,848 --a------ C:\WINDOWS\system32\drivers\symdns.sys
      2008-02-22 22:18 . 2008-02-22 22:18 268 --ah----- C:\sqmdata10.sqm
      2008-02-22 22:18 . 2008-02-22 22:18 244 --ah----- C:\sqmnoopt10.sqm
      2008-02-22 21:49 . 2008-02-22 21:49 268 --ah----- C:\sqmdata09.sqm
      2008-02-22 21:49 . 2008-02-22 21:49 244 --ah----- C:\sqmnoopt09.sqm
      2008-02-21 19:34 . 2008-02-21 19:34 244 --ah----- C:\sqmnoopt08.sqm
      2008-02-21 19:34 . 2008-02-21 19:34 232 --ah----- C:\sqmdata08.sqm
      2008-02-21 19:31 . 2008-03-10 18:36 <REP> d-------- C:\Documents and Settings\Administrateur PC\Application Data\AdobeUM
      2008-02-20 08:59 . 2008-02-20 08:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-03-20 20:16 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
      2008-03-20 20:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
      2008-03-20 18:11 --------- d-----w C:\Program Files\Hijackthis Version Française
      2008-03-20 17:29 --------- d-----w C:\Program Files\Mozilla Thunderbird
      2008-03-20 10:04 --------- d-----w C:\Program Files\TuneUp Utilities 2008
      2008-03-19 20:08 --------- d-----w C:\Documents and Settings\Jean-herve COSTES\Application Data\OpenOffice.org2
      2008-03-16 15:17 --------- d-----w C:\Documents and Settings\Adeline\Application Data\OpenOffice.org2
      2008-03-14 21:21 --------- d-----w C:\Documents and Settings\Vincent\Application Data\OpenOffice.org2
      2008-03-13 07:38 --------- d-----w C:\Program Files\EasyCleaner
      2008-03-10 17:38 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-03-09 17:21 --------- d-----w C:\Program Files\Java
      2008-03-06 22:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2008-02-19 22:46 --------- d-----w C:\Program Files\Fichiers communs\Control Panels
      2008-02-19 22:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\ALM
      2008-02-19 22:23 --------- d-----w C:\Program Files\Bonjour
      2008-02-19 22:18 --------- d-----w C:\Program Files\Fichiers communs\Macrovision Shared
      2008-02-19 09:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-02-11 11:06 --------- d-----w C:\Program Files\Spybot - Search & Destroy
      2008-02-11 11:03 691,545 ----a-w C:\WINDOWS\unins000.exe
      2008-02-09 18:27 --------- d-----w C:\Program Files\Norton Internet Security
      2008-02-09 18:02 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
      2008-02-09 18:02 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
      2008-02-09 18:02 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
      2008-02-09 18:02 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
      2008-02-09 18:02 --------- d-----w C:\Program Files\Symantec
      2008-02-09 11:32 --------- d-----w C:\Program Files\Windows Live Toolbar
      2008-02-09 11:30 --------- d-----w C:\Program Files\Windows Live Favorites
      2008-02-09 11:30 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
      2008-02-05 22:25 --------- d-----w C:\Documents and Settings\Administrateur PC\Application Data\Uniblue
      2008-02-05 17:37 --------- d-----w C:\Documents and Settings\Jean-herve COSTES\Application Data\Apple Computer
      2008-02-05 13:54 --------- d-----w C:\Program Files\Real
      2008-02-05 13:54 --------- d-----w C:\Program Files\Fichiers communs\xing shared
      2008-02-05 13:54 --------- d-----w C:\Program Files\Fichiers communs\Real
      2008-02-05 11:42 --------- d-----w C:\Program Files\RegCleaner
      2008-02-04 16:48 37,152 ----a-w C:\Documents and Settings\Jean-herve COSTES\Application Data\GDIPFONTCACHEV1.DAT
      2008-01-25 15:40 --------- d-----w C:\Documents and Settings\FRANCOISE\Application Data\OpenOffice.org2
      2007-09-16 15:10 37,152 ----a-w C:\Documents and Settings\Adeline\Application Data\GDIPFONTCACHEV1.DAT
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 20:00 15360]
      "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-28 21:26 68856]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-09-03 00:04 84640]
      "osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2006-09-05 18:22 26248]
      "Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]

      C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Logiciel Kodak EasyShare.lnk.disabled [2008-01-13 17:53:29 1877]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
      "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
      "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-03-13 13:11 233472]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
      "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
      "swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
      "SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "ehTray"=C:\WINDOWS\ehome\ehtray.exe
      "InCD"=C:\Program Files\Ahead\InCD\InCD.exe
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
      "PinnacleDriverCheck"=C:\WINDOWS\system32\\PSDrvCheck.exe
      "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
      "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      "nwiz"=nwiz.exe /install
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      "Alcmtr"=ALCMTR.EXE
      "RTHDCPL"=RTHDCPL.EXE
      "EKIJ5000StatusMonitor"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe
      "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      "Adobe_ID0EYTHM"=C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusDisableNotify"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "C:\\Program Files\\MSN Messenger\\livecall.exe"=
      "C:\\Program Files\\Messenger\\msmsgs.exe"=
      "J:\\Program Files\\iTunes.exe"=
      "J:\\Program Files\\3ds max\\monitor.exe"=
      "J:\\Program Files\\3ds max\\manager.exe"=
      "J:\\Program Files\\3ds max\\server.exe"=
      "J:\\Program Files\\3ds max\\3dsmax.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"=
      "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
      "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
      "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"=
      "C:\\Program Files\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
      "C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
      "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
      "C:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
      "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
      "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
      "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

      R2 KodakSvc;Kodak AiO Device Service;"C:\Program Files\Kodak\printer\center\KodakSvc.exe" [2007-12-13 11:07]
      R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-10 20:00]
      R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
      R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-10 20:00]
      S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-13 08:53]

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp

      *Newly Created Service* - COMHOST
      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2008-03-20 20:00:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
      - C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
      "2008-02-29 23:56:16 C:\WINDOWS\Tasks\Norton Internet Security - Analyse système complète - Administrateur PC.job"
      - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/TASK:
      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-20 21:20:48
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      Temps d'accomplissement: 2008-03-20 21:21:14
      ComboFix-quarantined-files.txt 2008-03-20 20:21:06
      .
      2008-03-12 17:31:35 --- E O F ---
      0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    smit fraud fix (colle le rapport)

    1/ telecharger :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
     
    Et voici le rapport SmitfraudFix que tu as demandé.

    Merci encore de ton aide.

    et à bientôt pour tes conseils quant à ce qu'il y a éventuellement à faire maintenant.

    Bon courage......

    SmitFraudFix v2.305

    Rapport fait à 21:58:09,04, 20/03/2008
    Executé à partir de C:\Documents and Settings\Administrateur PC\Mes documents\LOGICIELS de Protection\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\Kodak\printer\center\KodakSvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    J:\Program Files\3ds max\mentalray\satellite\raysat_3dsmax8server.exe
    C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\cmd.exe
    C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    C:\Program Files\Symantec\LiveUpdate\AUPDATE.EXE
    C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe
    C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    Fichier hosts corrompu !

    127.0.0.1 www.legal-at-spybot.info
    127.0.0.1 legal-at-spybot.info

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur PC

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur PC\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~2\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: VIA Rhine II Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 212.27.53.252

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{96EE55F3-7B29-4C7B-8920-EA0CC0913718}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{96EE55F3-7B29-4C7B-8920-EA0CC0913718}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{96EE55F3-7B29-4C7B-8920-EA0CC0913718}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    1
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok smitfraudfix a trouvé une infection
    fais la troisième partie:

    ________________

    smit fraud fix (colle le rapport)

    1/ telecharger :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.

    3/ redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) puis refaire comme en 2/ mais sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veut nettoyer le registre mets oui en tapant 0 et entrée

    ______________

    puis:

    Fais un clic droit sur ce lien : (IL-MAFIOSO)
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    1
    1. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
       
      Voici le rapport demandé,j'attends donc vos instructions.

      Merci d'avance


      Search Navipromo version 3.5.0 commencé le 20/03/2008 à 22:35:42,57

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 7.0.5730.11
      Système de fichiers : NTFS

      Executé en mode normal

      *** Recherche Programmes installés ***




      *** Recherche dossiers dans C:\WINDOWS ***



      *** Recherche dossiers dans C:\Program Files ***



      *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




      *** Recherche dossiers dans "C:\Documents and Settings\Administrateur PC\applic~1" ***



      *** Recherche dossiers dans "C:\Documents and Settings\Administrateur PC\locals~1\applic~1" ***



      *** Recherche dossiers dans "C:\Documents and Settings\Administrateur PC\menudm~1\progra~1" ***


      *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net

      Aucun Fichier trouvé



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans C:\WINDOWS\system32 *

      * Recherche dans "C:\Documents and Settings\Administrateur PC\locals~1\applic~1" *



      *** Recherche fichiers ***




      *** Recherche clés spécifiques dans le Registre ***


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans C:\WINDOWS\system32 :


      * Dans "C:\Documents and Settings\Administrateur PC\locals~1\applic~1" :


      3)Recherche Certificats :

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !

      4)Recherche fichiers connus :



      *** Analyse terminée le 20/03/2008 à 22:41:00,26 ***
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu avais nettoyé avec smitfraudfix???

    ______________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    Kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    1
    1. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
       
      Tu devrais trouver le rapport smitfraudfix dans un message avant.
      Sinon, je voulais utiliser bitdefender, mais je pense qu'il me faut désactiver NORTON ? Cela ne laissera pas de trace en réactivant Norton ?
      Merci pour ton aide ...
      0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    non tu n'avais mis que le rapport smitfraudfix avant nettoyage apres tu as mis un rapport navilog ce qui est different

    ____________

    non aucune trace apres le scan bitdefender
    1
    1. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
       
      J'ai finalement poursuivi le process de Bitdefender pour arriver au rapport que je colle ci-après.Il reste apparemment 4 problèmes. Que faut-il faire maintenant, peut-on laisser cela dans le PC sans risque ou faut il complétement nettoyer

      Merci d'avance si tu peux encore m'aider

      Bonne journée.

      Cordialement.

      Fichier journal de BitDefender
      Produit : BitDefender Total Security 2008
      Version : BitDefender UIScanner V.11
      Date du journal : 10:30:09 21/03/2008
      Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\full_scan\1206091809_1_02.xml

      Analyse des chemins :Chemin0000: C:\
      Chemin0001: J:\
      Chemin0002: K:\


      Options d’analyse :Analyse contre les virus : Oui
      Détecter les adwares : Oui
      Analyse contre les spywares : Oui
      Analyse des applications : Oui
      Détecter les numéroteurs : Oui
      Analyse contre les Rootkits : Oui


      Options de sélection de cible :Analyse les clés du registre : Oui
      Analyse des cookies : Oui
      Analyser le secteur de boot : Oui
      Analyse des processus mémoire : Oui
      Analyser les archives : Non
      Analyser les fichiers enpaquetés : Oui
      Analyser les emails : Oui
      Analyser tous les fichiers : Oui
      Analyse heuristique : Oui
      Extensions analysées :
      Extensions exclues :


      Traitement cibleAction par défaut pour les objets infectés : Désinfecter
      Action par défaut pour les objets suspects : Aucun
      Action par défaut pour les objets camouflés : Aucun


      Résumé de l'analyseNombre de signatures de virus : 1019861
      Plugins archives : 41
      Plug-ins messagerie : 6
      Plugins d'analyse : 12
      Plugins archives : 41
      Plug-ins système : 4
      Plug-ins décompression : 7


      Résumé de l'analyse généraleEléments analysés : 405542
      Eléments infectés : 6
      Eléments suspects : 0
      Eléments résolus : 2
      Virus individuels trouvés : 5
      Répertoires analysés : 16850
      Secteur de boot analysés : 4
      Archives analysés : 14098
      Erreurs I/O : 36
      Temps d'analyse : 00:01:56:38
      Fichiers par seconde : 57


      Résumé des processus analysésAnalysé(s) : 42
      Infecté(s) : 0


      Résumé des clés de registre analyséesAnalysé(s) : 362
      Infecté(s) : 0


      Résumé des cookies analysésAnalysé(s) : 0
      Infecté(s) : 0


      Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
      C:\Documents and Settings\Jean-herve COSTES\Application Data\Thunderbird\Profiles\5ldrfqma.default\Mail\Local Folders\Junk=](message 169) Generic.Peed.Eml.2EA720BB Echec de la suppression (fichier dans une archive)
      C:\Documents and Settings\Jean-herve COSTES\Application Data\Thunderbird\Profiles\5ldrfqma.default\Mail\Local Folders\Inbox=](message 849) Generic.Peed.Eml.4B5B42C2 Echec de la suppression (fichier dans une archive)
      C:\Documents and Settings\Jean-herve COSTES\Application Data\Thunderbird\Profiles\5ldrfqma.default\Mail\Local Folders\Inbox=](message 869) Generic.Peed.Eml.670FA2B3 Echec de la suppression (fichier dans une archive)
      C:\Documents and Settings\Jean-herve COSTES\Application Data\Thunderbird\Profiles\5ldrfqma.default\Mail\Local Folders\Junk=](message 181) Generic.Peed.Eml.B0E8009F Echec de la suppression (fichier dans une archive)


      Problèmes résolusNom de l'objet Nom de la menace Etat final
      C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7FAD4180=](Quarantine-2) DeepScan:Generic.Zlob.7.779465ED Effacé
      C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7FBA6972.exe=](Quarantine-2) DeepScan:Generic.Zlob.7.779465ED Effacé


      Objets non scannés :Nom de l'objet Raison Etat final
      C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom6.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
      C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom6.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
      C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom7.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
      C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom7.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
      C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom8.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
      C:\Documents and Settings\All Users\Application

      and so and so...........
      0
  10. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
     
    Bonjour jlpjlp,

    Désolé, je n'avait pas compris qu'il fallait à nouveau relancer smit...

    Après une bonne nuit durant laquelle Bitdefender a tourné, il m'a trouvé 5 menaces : 2 DeepScan genneric Zlob7.7....
    ainsi que 4 Generic Pic Eml 2ea, 4b ,67 Bo.....Je n'airien touché en attendant ta réponse.

    Merci d'avance pour tes conseils

    Cordialement
    1
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    alors je vais t'expliquer en 3 parties chaque infection:

    __________________
    1/ ce qui a été trouvé dans cette partie sont des infections dans plusieurs de tes messages dans ta messagerie thunderbird , il faut que tu vire ce qui est dans la corbeille de thundirb et que tu vires les messages que tu ne connais pas (tu as des numero de message)

    Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
    C:\Documents and Settings\Jean-herve COSTES\Application Data\Thunderbird\Profiles\5ldrfqma.default\Mail\Local Folders\Junk=](message 169) Generic.Peed.Eml.2EA720BB Echec de la suppression (fichier dans une archive)
    C:\Documents and Settings\Jean-herve COSTES\Application Data\Thunderbird\Profiles\5ldrfqma.default\Mail\Local Folders\Inbox=](message 849) Generic.Peed.Eml.4B5B42C2 Echec de la suppression (fichier dans une archive)
    C:\Documents and Settings\Jean-herve COSTES\Application Data\Thunderbird\Profiles\5ldrfqma.default\Mail\Local Folders\Inbox=](message 869) Generic.Peed.Eml.670FA2B3 Echec de la suppression (fichier dans une archive)
    C:\Documents and Settings\Jean-herve COSTES\Application Data\Thunderbird\Profiles\5ldrfqma.default\Mail\Local Folders\Junk=](message 181) Generic.Peed.Eml.B0E8009F Echec de la suppression (fichier dans une archive)

    ___________________

    2/ ce qui a été trouvé dans cette partie sont des infections qui sont en quarantaine dans norton antivirus
    pour les virer tu vire les fichiers en quarantaine dans norton
    ou tu suis les liens pour virer ce qui est dans le dossiers quarantine : en allant dans poste de travail puis C puis doc and setting puis all users puis .....

    Problèmes résolusNom de l'objet Nom de la menace Etat final
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7FAD4180=](Quarantine-2) DeepScan:Generic.Zlob.7.779465ED Effacé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7FBA6972.exe=](Quarantine-2) DeepScan:Generic.Zlob.7.779465ED Effacé

    _________________

    3/ ce qui a été trouvé dans cette partie sont des infections qui sont en quarantaine dans SPYBOT
    tu lance spybot puis tu va dans la partie sauvegarde et tu supprime ce qui est dedans

    Objets non scannés :Nom de l'objet Raison Etat final
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom6.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom6.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom7.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom7.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AheadNeroBurningRom8.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
    C:\Documents and Settings\All Users\Application
    1
    1. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
       
      Hello,

      J'ai bien vu où se trouvent les infections dans mes messages, mais je ne sais pas comment retrouver les messages et les supprimer.
      Pour Norton, j'ai bien regardé dans la quarantaine, je ne trouve qu'un seul élément ( ancien), les autres auraient-ils bien été supprimés?

      j'ai purgé spybot sans problème.

      Peux tu m'indiquer comment supprimer les mails infectés?

      Merci d'avance et désolé de te poser tant de question; j'ai vraiment beaucoup à apprendre, heureusement qu'il y a des spécialistes comme toi. Es-tu un "simple" internaute un modérateur qqu'un faisant partie de CCM?

      Cordialement
      0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pour virer les mails inféctés pas évident... tu vire les mails douteux, sinon il faudra tout virer
    1
  13. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
     
    Je trouve quelques nos de mails dans le rapport mais je ne retrouve pas du tout les messages correspondants dans ma boite. Dommage. je ne sait pas trop comment faire car je ne pense pas qu'il faille supprimer les fichiers inbox et junk dans lesquels ont été trouvées les infections....... et je ne sais comment vider simplement le contenu....

    Sinon, de ton point de vue, il n'y aurait rien d'autre à faire sur le PC maintenant concernant le nettoyage, à part cela, il est propre ?

    Et si je peux encore abuser, aurais tu une idée concernant la question d'utilisation de logiciesl en session Non Administrateur ( comment donner les droits ), que j'ai posé dans mon premier envoi?

    Thanks....a lot
    1
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui c'est clean

    essaye de réparer le registre avec zeb restore

    http://telechargement.zebulon.fr/zeb-restore.html
    1
  15. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
     
    Je ne sais pas utiliser cet outil. J'ai fait un petit coup de TuneUp, CCleaner, Easycleaner; cela n'est-il pas suffisant?

    Merci d'avance.
    1
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    non fais zeb restore tu selectionne les reparation et tu lance le logicel
    1
    1. JEANRV Messages postés 163 Date d'inscription   Statut Membre Dernière intervention   7
       
      Bonjour jlpjlp,

      Désolé de ne revenir que maintenant. En fait j'ai réussi à supprimer le virus Generic peed Eml qui se trouvait dans des messages de ma boite, en compactant les dossiers de la boite, ce qui permet de supprimer tous les vieux messages effacés auparavant qui ne sont plus visible dans Thunderbird, ce que je ne savais pas.

      Encore merci pour ton aide. Cordialement.
      0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait
    1