Virus Backdoor.Skinymes.Agent.A Fermé

Question

Bonjour,
Après avoir fait un scan online avec BitDefender, le rapport m’indique que je suis infesté par Backdoor.Skinymes.Agent.A avec échec à la désinfection. Mon anti-virus MacAfee ne peut pas le déloger, pas plus qu’AntiVir.  Ce virus introduit aurait-il un rapport avec d’autres ’’invités’’ non recommandables. Lorsque je vais dans le panneau de Configuration, Option Internet, Contenu, Certificats, Editeurs Approuvés, j’ai 3 hôtes  qui pourraient être en relation avec cette infection, les voici :

2 Certificats délivrés à : Electroniq-group	délivrés par : Thawte Code Signing CA
Et 1 à 000 <Favorit> délivré par Thawte Code Signing CA    

Ces invités seraient-ils aussi liés à l’apparition des fenêtres intempestives qui polluent mon ordinateur. Je reçois continuellement des propositions du F.A.I. Alice alors que je n’ai jamais été sur ce site  et ne suis pas client chez eux.

Je ne suis pas un pro et même un peu perdu. Peut-on supprimer sans danger ces adresses ou sont-elles nécessaires au bon fonctionnement d’I.E. ? A défaut que faut-il faire ?

Merci de votre réponse

Utilisateur anonyme · Answer

bonjour

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.exe pour télécharger navilog1
Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
poste les rapports obtenus

Lyonnais92 · Answer

Bonjour,

tout juste :  il y a un lien entre ton malware et les faux certificats d'éditeur.

On va te débarrasser de tout ça.

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Ce passage va détecter. Un deuxième passage traitera.

Fais aussi ça que l'on vérifie que l'ona  bien tout :

Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe 
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là : 
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept" 

Ferme Hijackthis (en cliquant sur la croix rouge en haut à droite de sa fenêtre).

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien : 

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur dss.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
 
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

alinoux · Answer

O.K.  J'ai installé Navilog sur mon bureau. J'ai fait un double clic pour le lancer. Problème, mon anti-virus le détecte et refuse sûrement son installation (désigné virus New Win 32). Navilog1 de son côté m'indique : une erreur est survene en essyant de renommer un ficher dans le dossier de destination. Move File a échoué code 2, ce fichier spécifié est introuvable. Options à choisir :  Abandonner, Recommencer ou Ignorer. 
A chaque tentative de ''Recommencer'' , l'anti-virus me signale l'intrusion. Lorsque je fais ''Ignorer'', j'ai une icone qui se met sur mon bureau avec rien dedans.
J'ai un rapport HujackThis que j'ai fait ce matin, peut-il te servir ?
Merci pour ton aide

Utilisateur anonyme · Answer

déconnecte toi de internet et désactive ton antivirus ensuite réinstalle navilog et exécute le 

n'oublie ensuite pas de reactivé ton anti-virus quand tu posteras ton rapport

Lyonnais92 · Answer

Re,

Ne retélécharge pas Hijackthis.


Fais ce qui est dit à partir de Télécharge DSS. Ca va reproduire un rapport Hijackthis plus des informations complémentaires utiles.

Pouur navilog, fais ça.

garde le fichier téléchargé. Supprime tout ce qui a été créé après.

Ensuite, déconnecte toi d'Internet, désactive ton antivirus, exécute navilog.

Réactive ton antivirus,

reconnecte toi au Net,

Poste les rapports.

Utilisateur anonyme · Answer

slt lyonnais92

je te laisse avec alinoux  car on poste en double

a+

Lyonnais92 · Answer

Re,

salut shion-ares, désolé, je viens seulement de voir que tu avais posté avant moi.

alinoux · Answer

Je vais reprendre avec toi Lyonnais 92. J'avais informé Shion-ares que vous étiez sur la même affaire. Super sympa quand même. Je reprends contact en début d'A.M. Bon Appétit

Lyonnais92 · Answer

Re,

comme tu as pu voir, on est sur la même longueur d'onde, shion-ares et moi.

Si il te dit, au vu de ton rapport navilog, de faire passer une option 2 ou 3 ou 4, fais le (je ne serai peut être pas dispo avant ce soir). Autant avancer le post.

alinoux · Answer

L'analyse a été faite, je te l'adresse :
Search Navipromo version 3.5.7 commencé le 21/05/2008 à 17:05:30,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Admin" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Admin\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Admin\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Admin\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\puijuzq.dat
C:\WINDOWS\system32\puijuzq.exe
C:\WINDOWS\system32\puijuzq_nav.dat
C:\WINDOWS\system32\puijuzq_navps.dat


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

Fichiers trouvés :

puijuzq.exe trouvé ! 
woniclh.exe trouvé ! 
yepjoc.exe trouvé ! 
yepjoc.exe trouvé ! 

* Recherche dans "C:\Documents and Settings\Admin\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

puijuzq.dat trouvé !
qgfyhgxs.dat trouvé !
vfvepefjc.dat trouvé !

* Dans "C:\Documents and Settings\Admin\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 21/05/2008 à 17:15:01,12 ***

Tu me réponds quand tu peux, à l'impossible nul n'est tenu. Je constate que ms invités ont été détectés (Egroup, Electronic, Favorit.  mon avis, ce sont des pros de l'informatique qui font ça ! ...)

A plus

Utilisateur anonyme · Answer

tu cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valides.
(ne fais pas le choix ,3 ou 4 sans notre avis/accord)

Le fix va t'informer qu'il va alors redémarrer ton PC
Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuies sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

Poste le rapport

alinoux · Answer

Je viens de faire l'analyse avec DSS, je te la poste :

Search Navipromo version 3.5.7 commencé le 21/05/2008 à 17:05:30,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Admin" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Admin\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Admin\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Admin\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\puijuzq.dat
C:\WINDOWS\system32\puijuzq.exe
C:\WINDOWS\system32\puijuzq_nav.dat
C:\WINDOWS\system32\puijuzq_navps.dat


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

Fichiers trouvés :

puijuzq.exe trouvé ! 
woniclh.exe trouvé ! 
yepjoc.exe trouvé ! 
yepjoc.exe trouvé ! 

* Recherche dans "C:\Documents and Settings\Admin\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

puijuzq.dat trouvé !
qgfyhgxs.dat trouvé !
vfvepefjc.dat trouvé !

* Dans "C:\Documents and Settings\Admin\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 21/05/2008 à 17:15:01,12 ***

J'attends tes instructions.

Utilisateur anonyme · Answer

fait ce qui est marqué au N° 12 stp

Lyonnais92 · Answer

bonsoir,

fais ce que shion-ares te demande au post 14.

Ensuite, tu exécutes DSS et tu postes le rapport '(t pas celui de navilog).

alinoux · Answer

Bonjour Shion-ares.
Je reprends le contact avec toi.
Je te poste le nouveau rapport Navilog après avoir fait l'opération du nettoyage option 2, le voici :

Clean Navipromo version 3.5.7 commencé le 22/05/2008 à  9:39:01,73

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Admin" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"

Copie C:\WINDOWS\system32\puijuzq.dat réalisée avec succès ! 
Copie C:\WINDOWS\system32\puijuzq.exe réalisée avec succès ! 
Copie C:\WINDOWS\system32\puijuzq_nav.dat réalisée avec succès ! 
Copie C:\WINDOWS\system32\puijuzq_navps.dat réalisée avec succès ! 

*** Suppression des fichiers trouvés avec Catchme ***

C:\WINDOWS\system32\puijuzq.dat supprimé ! 
C:\WINDOWS\system32\puijuzq.exe supprimé ! 
C:\WINDOWS\system32\puijuzq_nav.dat supprimé ! 
C:\WINDOWS\system32\puijuzq_navps.dat supprimé ! 
 
** 2ème passage avec résultats Catchme ** 

* Dans "C:\WINDOWS\system32" *


C:\WINDOWS\prefetch\puijuzq*.pf trouvé ! 
Copie C:\WINDOWS\prefetch\puijuzq*.pf réalisée avec succès !
C:\WINDOWS\prefetch\puijuzq*.pf supprimé !

* Dans "C:\Documents and Settings\Admin\locals~1\applic~1" * 


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

woniclh.exe trouvé !
Copie woniclh.exe réalisée avec succès !
woniclh.exe supprimé !

yepjoc.exe trouvé !
Copie yepjoc.exe réalisée avec succès !
yepjoc.exe supprimé !


* Suppression dans "C:\Documents and Settings\Admin\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Admin\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Admin\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Admin\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" *** 



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Admin\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *

qgfyhgxs.dat trouvé !
Copie qgfyhgxs.dat réalisée avec succès !
qgfyhgxs.dat supprimé !

vfvepefjc.dat trouvé !
Copie vfvepefjc.dat réalisée avec succès !
vfvepefjc.dat supprimé !

qgfyhgxs_nav.dat trouvé !
Copie qgfyhgxs_nav.dat réalisée avec succès !
qgfyhgxs_nav.dat supprimé !

tkvamthzm_nav.dat trouvé !
Copie tkvamthzm_nav.dat réalisée avec succès !
tkvamthzm_nav.dat supprimé !

vfvepefjc_nav.dat trouvé !
Copie vfvepefjc_nav.dat réalisée avec succès !
vfvepefjc_nav.dat supprimé !

qgfyhgxs_navps.dat trouvé !
Copie qgfyhgxs_navps.dat réalisée avec succès !
qgfyhgxs_navps.dat supprimé !

tkvamthzm_navps.dat trouvé !
Copie tkvamthzm_navps.dat réalisée avec succès !
tkvamthzm_navps.dat supprimé !

vfvepefjc_navps.dat trouvé !
Copie vfvepefjc_navps.dat réalisée avec succès !
vfvepefjc_navps.dat supprimé !

qgfyhgxs.exe trouvé !
Copie qgfyhgxs.exe réalisée avec succès !
qgfyhgxs.exe supprimé !

tkvamthzm.dat trouvé !
Copie tkvamthzm.dat réalisée avec succès !
tkvamthzm.dat supprimé !


* Dans "C:\Documents and Settings\Admin\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 22/05/2008 à  9:44:49,10 ***

Apparemment, il y a des virus qui ont du avoir mal aux dents ! ...
J'attends tes instructions. Toi et Lyonnais92, vous êtes des mecs sympas.
A plus

Utilisateur anonyme · Answer

bonjour 

maintenant fait ce que lyonnais92 a dit concernant dss mais normalement t'as plus rien (en ce qui concerne navilog il a fait son boulot )

alinoux · Answer

Merci Shion-ares. 
Je reprends contact avec lui pais je suis sorbooké cette A.M. C'est très sympa à toi de m'avoir aidé.
Peux-tu me dire quand on peut utiliser les otpions 3 et 4 avec Navilog. Si un jour, je peux aussi aider des Internautes ennyués, je ne veux pas faire faire n'importe quoi. Y a t-il un tutorial quelque part pour s'initier ou quelque chose de similaire ?
Bien Amicalement

Utilisateur anonyme · Answer

pour l'option 4 c'est quand le nettoyage ne se fait automatique 

dans ce cas il faut rentrer le nom manuellement 

exemple comme toi si cela n'avait pas marcher on t'aurais dit de faire l'option 4 et de taper

qgfyhgxs

qui apparait dans ton rapport

Lyonnais92 · Answer

Bonjour,

pas besoin de reprendre contact. Je suis là.

Tu fais en fonction de tes disponibilités.

Je voudrais que tu fasses ça (vérification) ::
Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien : 

http://www.techsupportforum.com/sectools/Deckard/dss.exe 

Choisis "enregistrer" et "Bureau" comme emplacement. 

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter). 

Double-clique sur dss.exe pour lancer l'outil. 

S'il ne trouve pas HijackThis, clique sur Oui. 

Clique sur OK à chaque fois que cela sera demandé. 

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse. 

Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

alinoux · Answer

Bonsoir,
J'avais déjà DSS sur mon bureau, je l'ai donc relancé.
Je t'adresse une nouvelle analyse :

Deckard's System Scanner v20071014.68
Run by Admin on 2008-05-22 23:04:33
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Admin.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:45, on 22/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe
C:\Program Files\Softissimo\Lexibase Pro\exe\lexibase.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Admin\Bureau\dss.exe
C:\DOCUME~1\Admin\Bureau\Admin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Multi_Media_France toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France	bMult.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll (file missing)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb126\SearchSettings.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1	oolbar.dll (file missing)
O2 - BHO: Multi_Media_France toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France	bMult.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb126\SearchSettings.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Multi_Media_France toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France	bMult.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [hfnunjkwp] c:\windows\system32\hfnunjkwp.exe hfnunjkwp
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /min
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [CLOCK CREATIVE] C:\DOCUME~1\Admin\APPLIC~1\THUNKE~1	itle ace.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
O4 - Global Startup: Lexibase Express.lnk = C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://angus76.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://bitdefender.solutions-antivirus.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Lyonnais92 · Answer

Bonsoir,

on ne va pas clore, les nouvelles ne sont pas bonnes.

tu es très infectée (au moins 5 infections différentes).

Si tu as téléchargés des cracks, supprimes les.

a) double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

b) Ouvre ce lien  (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.


c)     Télécharge BTFix de Bibi26
    http://cluster1.easy-hebergement.net/ de Bibi26
    Dézippe l'archive sur ton Bureau.
    Ouvre le dossier BTFix.
    Double clique sur BTFix.exe.
    Clique sur Rechercher.
    Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

d) Ouvre ce lien :

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

pour télécharger Lopxp de mOe.

Enregistre le fichier Lopxpsetup.exe sur ton bureau.

Double clic sur son icône pour lancer l'installation

Sur ton Bureau, une nouvelle icône est apparue : Lopxp (avec une petite roue dentée).

Double clique sur Lopxp.

Au menu, choisir l'option 1

Patiente jusqu'à que l'on demande d'appuyer sur une touche. Appuye !

Le Bloc-notes s'ouvre. Copie/colle le contenu dans ta réponse.

alinoux · Answer

Bonjour,

Je n'ai pas pu ouvrir le lien BTFix de bibi26. Le site Web refuse, il m'est indiqué ''Serveur non trouvé'' .

Je t'adresse les rapports que j'ai fait ce matin :

1°) avec Navilog :

Search Navipromo version 3.5.7 commencé le 23/05/2008 à 10:06:15,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Admin" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Admin\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Admin\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Admin\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Admin\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Admin\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 23/05/2008 à 10:15:44,37 ***

2°) avec S!RI :
SmitFraudFix v2.320

Rapport fait à 10:30:20,98, 23/05/2008
Executé à partir de C:\Documents and Settings\Admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe
C:\Program Files\Softissimo\Lexibase Pro\exe\lexibase.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	legal-at-spybot.info
127.0.0.1	www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Admin\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{38C6C13C-EACF-455D-A73C-3690F22BA193}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{38C6C13C-EACF-455D-A73C-3690F22BA193}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{38C6C13C-EACF-455D-A73C-3690F22BA193}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

3°) avec Lopxp :
# Rapport Lopxp fait le 23/05/2008 à 10:48:04
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008


========== Listing des dossiers Application Data

+- C:\Documents and Settings\Admin\Application Data

 2008-02-09 à 12:58:17 - Adobe 
 2007-02-06 à 18:05:15 - AdobeUM 
 2007-04-14 à 07:34:48 - Ahead 
 2007-12-27 à 17:00:05 - Apple Computer
 2008-04-02 à 12:19:09 - CyberLink 
 2007-12-21 à 17:05:27 - dvdcss 
 2007-03-26 à 22:29:18 - Google 
 2007-02-10 à 18:06:07 - Help 
 2007-10-22 à 08:54:45 - ICAClient 
 2005-10-26 à 19:56:10 - Identities 
 2008-02-25 à 19:13:53 - Leadertech 
 2008-01-16 à 17:39:48 - Macromedia 
 2007-04-03 à 20:36:42 - Media Player Classic
 2008-05-18 à 10:31:17 - Microsoft 
 2007-12-27 à 17:04:39 - Mindscape 
 2007-01-31 à 10:00:34 - OLYMPUS 
 2007-04-12 à 14:44:34 - Real 
 2007-10-09 à 15:09:53 - Samsung 
 2008-03-11 à 13:57:12 - Search Settings
 2007-08-21 à 18:09:46 - SPAMfighter 
 2007-08-21 à 16:25:50 - SpamPal 
 2007-02-28 à 12:46:34 - Sun 
 2007-11-25 à 19:15:40 - SUPERAntiSpyware.com 
 2007-07-02 à 08:38:41 - Symantec 
 2007-08-21 à 22:00:22 - thunk else
 2007-04-04 à 13:01:56 - Uniblue 
 2007-04-03 à 20:45:40 - vlc 
 2008-03-14 à 20:33:31 - Vso 

+- C:\Documents and Settings\Admin\Local Settings\Application Data

 2008-04-25 à 17:52:28 - Adobe 
 2007-01-13 à 11:13:46 - Ahead 
 2008-01-08 à 17:11:44 - Apple 
 2007-12-27 à 16:59:52 - Apple Computer
 2007-01-16 à 12:41:02 - ApplicationHistory 
 2007-03-26 à 21:27:52 - Google 
 2007-02-10 à 18:06:07 - Help 
 2007-01-18 à 02:14:36 - Identities 
 2008-01-03 à 16:22:34 - IM 
 2007-12-26 à 07:51:28 - Magentic 
 2008-03-03 à 17:08:45 - Microsoft 
 2007-06-24 à 08:06:25 - Multi_Media_France 
 2007-09-27 à 07:19:19 - PCHealth 
 2008-03-24 à 10:51:11 - WMTools Downloaded Files
 2007-01-07 à 07:05:09 - {3248F0A6-6813-11D6-A77B-00B0D0150050} 

+- C:\Documents and Settings\Administrateur\Application Data

 2005-10-26 à 19:56:10 - Identities 
 2005-10-26 à 19:56:10 - Microsoft 

+- C:\Documents and Settings\Administrateur\Local Settings\Application Data

 2005-10-26 à 19:56:11 - ApplicationHistory 
 2008-04-06 à 14:57:43 - Identities 
 2005-10-26 à 19:56:11 - Microsoft 

+- C:\Documents and Settings\All Users\Application Data

 2008-02-09 à 12:54:31 - Adobe 
 2007-01-07 à 07:54:31 - Ahead 
 2008-01-08 à 17:11:38 - Apple 
 2008-01-08 à 17:12:17 - Apple Computer
 2008-04-29 à 16:21:08 - Avira 
 2008-04-02 à 12:19:32 - CyberLink 
 2007-08-05 à 13:44:04 - Google 
 2008-05-22 à 08:39:50 - Google Updater
 2007-11-25 à 19:19:40 - Grisoft 
 2007-08-21 à 19:30:59 - Lavasoft 
 2007-01-07 à 07:16:08 - McAfee 
 2007-10-27 à 14:45:51 - Messenger Plus!
 2008-03-03 à 17:07:21 - Microsoft 
 2007-12-27 à 16:43:46 - Mindscape 
 2007-01-07 à 07:15:51 - Network Associates
 2007-01-30 à 13:16:22 - QuickTime 
 2007-04-03 à 20:31:34 - Real 
 2005-10-26 à 19:56:12 - SBSI 
 2008-04-29 à 16:01:08 - Spybot - Search & Destroy
 2007-11-25 à 19:09:12 - SUPERAntiSpyware.com 
 2007-06-24 à 19:35:31 - surf 4 keep build
 2007-07-02 à 08:38:57 - Symantec 
 2007-01-16 à 12:24:03 - Windows Genuine Advantage
 2007-01-16 à 16:56:22 - Windows Live Toolbar
 2008-03-03 à 17:06:44 - WLInstaller 

+- C:\Documents and Settings\Invit‚\Application Data

 2008-02-29 à 12:53:09 - Adobe 
 2007-04-27 à 14:51:45 - CyberLink 
 2008-03-11 à 12:13:31 - Dealio 
 2007-08-23 à 11:11:55 - DivX 
 2007-04-14 à 11:35:10 - Google 
 2007-12-06 à 13:47:47 - Grisoft 
 2005-10-26 à 19:56:10 - Identities 
 2007-02-26 à 13:54:51 - Macromedia 
 2008-05-05 à 11:24:26 - Microsoft 
 2008-03-28 à 12:11:27 - Real 
 2008-03-11 à 12:13:43 - Search Settings
 2007-08-22 à 11:24:13 - SPAMfighter 
 2007-11-10 à 14:42:47 - Sun 
 2007-04-27 à 14:49:18 - vlc 

+- C:\Documents and Settings\Invit‚\Local Settings\Application Data

 2007-02-26 à 15:22:51 - Adobe 
 2008-03-21 à 18:22:47 - Apple Computer
 2005-10-26 à 19:56:11 - ApplicationHistory 
 2007-08-23 à 11:11:46 - Google 
 2007-04-14 à 11:42:31 - Identities 
 2007-02-26 à 15:24:18 - Microsoft 

========== Listing du dossier Program Files

+- C:\Program Files

 2008-03-10 à 23:35:16 - Adobe 
 2007-10-27 à 14:38:58 - Adverts 
 2007-01-07 à 07:58:14 - Ahead 
 2008-01-08 à 17:11:39 - Apple Software Update
 2008-04-29 à 16:21:08 - Avira 
 2008-03-23 à 13:47:50 - AviSynth 2.5
 2008-05-01 à 08:24:34 - CCleaner 
 2007-10-22 à 08:54:37 - Citrix 
 2005-10-26 à 19:56:31 - ComPlus Applications
 2008-04-02 à 12:02:05 - CyberLink 
 2008-04-02 à 12:14:30 - DevGuru 
 2008-03-23 à 13:47:48 - eRightSoft 
 2008-03-03 à 17:07:02 - Fichiers communs
 2008-03-11 à 15:48:16 - Free Video Converter
 2007-01-16 à 11:52:11 - Free.fr 
 2007-08-21 à 20:40:28 - Google 
 2007-01-16 à 15:25:35 - Hewlett-Packard 
 2007-01-16 à 14:46:09 - HP 
 2008-03-03 à 17:40:35 - hp deskjet 3820 series
 2008-04-02 à 12:05:12 - InstallShield Installation Information
 2008-04-09 à 09:43:08 - Internet Explorer
 2008-03-11 à 11:28:38 - IVCsoft 
 2008-03-20 à 10:31:32 - Java 
 2007-04-03 à 20:31:50 - K-Lite Codec Pack
 2008-05-23 à 08:48:17 - Lopxp 
 2007-12-19 à 08:59:56 - Macrogaming 
 2008-03-03 à 17:40:35 - Messenger 
 2008-04-12 à 16:13:31 - Messenger Plus! Live
 2005-10-26 à 19:56:37 - microsoft frontpage
 2008-01-30 à 17:51:47 - Microsoft Office
 2007-12-27 à 16:33:21 - Mindscape 
 2008-04-13 à 20:13:20 - Movie Maker
 2008-01-30 à 17:51:22 - MSECache 
 2005-10-26 à 19:56:38 - MSN 
 2005-10-26 à 19:56:41 - MSN Gaming Zone
 2007-01-16 à 20:10:14 - MSXML 4.0
 2007-06-24 à 08:06:09 - Multi_Media_France 
 2008-02-13 à 18:51:29 - MW-Fonts 
 2008-05-23 à 08:16:43 - Navilog1 
 2005-10-26 à 19:56:44 - NetMeeting 
 2007-01-07 à 07:16:08 - Network Associates
 2007-12-04 à 23:03:00 - OLYMPUS 
 2005-10-26 à 19:56:44 - Online Services
 2008-03-15 à 21:42:59 - Outlook Express
 2008-05-21 à 15:58:46 - Paint Shop Pro 5
 2008-04-11 à 07:07:07 - Picasa2 
 2007-12-04 à 23:02:03 - PIXELA 
 2008-01-08 à 17:14:10 - QuickTime 
 2008-03-19 à 08:21:37 - RM-X® Mov To DivX
 2007-09-29 à 14:55:53 - Samsung 
 2008-02-18 à 22:13:00 - Script Font Samples
 2008-03-11 à 11:55:00 - Search Settings
 2007-01-16 à 14:03:57 - Services en ligne
 2007-01-07 à 07:03:52 - SiS VGA Utilities V3.70a
 2007-01-07 à 07:03:48 - sisagp 
 2007-12-27 à 16:18:12 - Softissimo 
 2007-07-05 à 13:37:25 - Symantec 
 2008-03-03 à 17:40:35 - TablEdit 
 2007-06-14 à 18:11:14 - thunk else
 2008-04-06 à 17:01:35 - TubeMaster 
 2005-10-26 à 19:56:44 - Uninstall Information
 2007-06-24 à 09:02:06 - uTorrent 
 2007-04-03 à 20:42:08 - VideoLAN 
 2008-03-03 à 17:06:57 - Windows Live
 2008-03-03 à 17:40:35 - Windows Live Toolbar
 2008-03-03 à 17:40:35 - Windows Media Connect 2
 2007-02-11 à 12:24:51 - Windows Media Player
 2005-10-26 à 19:56:46 - Windows NT
 2005-10-26 à 19:56:47 - WindowsUpdate 
 2007-07-27 à 11:21:27 - WinRAR 
 2007-06-08 à 20:50:01 - WinZip 
 2005-10-26 à 19:56:47 - xerox 
 2007-10-19 à 10:19:49 - Zero G Registry

========== Tâches planifiées

AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task
Vérifier les mises à jour de Windows Live Toolbar.job: C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE 

========== Clés registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CLOCK CREATIVE"="C:\DOCUME~1\Admin\APPLIC~1\THUNKE~1	itle ace.exe"


========== Bloqueur popups Internet Explorer

 www.pagesjaunes.fr
 www.u-m-p.org
 www.01net.com
 www.commentcamarche.net
 forum.hardware.fr
 www.fnaim.fr
 *.mail.live.com
 www.easy-tabs.com
 *.impots.gouv.fr

==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========

C:\Documents and Settings\Admin\Application Data	hunk else
C:\Documents and Settings\All Users\Application Data\surf 4 keep build
C:\Program Files\Adverts
C:\Program Files	hunk else
C:\Documents and Settings\Admin\Local Settings\Application Data\Multi_Media_France
C:\Program Files\Multi_Media_France

+- Registre:

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CLOCK CREATIVE"=-




- Fin du rapport -

Tu me tiens au courant de ce que je dois faire maintenant.

Merci d'avance

Virus Backdoor.Skinymes.Agent.A

22 réponses

Discussions similaires

Newsletters