Sujet Précédent Sujet Suivant

Fenêtre popup

keryan Messages postés 3 Statut Membre -
jlpjlp Messages postés 52399 Statut Contributeur sécurité - 28 mai 2008 à 15:01

Bonjour,
je rencontre des problèmes de fenêtres de pub casino et autres, voici mon rapport navilog

Search Navipromo version 3.5.7 commencé le jeu. 22/05/2008 à 11:14:36,43

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "atlanka"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\atlanka\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\atlanka\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\atlanka\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\atlanka\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\atlanka\locals~1\applic~1" :

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le jeu. 22/05/2008 à 11:19:13,02 ***

merci de me guider pour la suite.
keryan

Afficher la suite

A voir également:

Fenêtre popup
Fake mcafee popup - Accueil - Piratage
Fenetre windows - Guide
Fenêtre hors écran windows 11 - Guide
Fenetre de navigation privée - Guide
Firefox autoriser popup - Guide

8 réponses

Réponse 1 / 8

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

slt
rien dans navilog

desinstalle le via ton panneau de configuration
___________

colle un rapport hijackthis

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

keryan Messages postés 3 Statut Membre

Merci pour votre réponse

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:22, on 22/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\mgabg.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\System32\service.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iesearch.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 69.93.211.199 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 69.93.211.199 www3.aibgbonline.co.uk
O1 - Hosts: 69.93.211.199 www.bank.alliance-leicester.co.uk
O1 - Hosts: 69.93.211.199 login.iblogin.com
O1 - Hosts: 69.93.211.199 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 69.93.211.199 inet.barclays.co.uk
O1 - Hosts: 69.93.211.199 iibank.barclays.co.uk
O1 - Hosts: 69.93.211.199 iibank.cahoot.com
O1 - Hosts: 69.93.211.199 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 69.93.211.199 ww.hsbc.co.uk
O1 - Hosts: 69.93.211.199 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 69.93.211.199 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 69.93.211.199 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 69.93.211.199 ww3.online.lloydstsb.co.uk
O1 - Hosts: 69.93.211.199 ww3.online.lloydstsb.co.uk
O1 - Hosts: 69.93.211.199 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 69.93.211.199 ob2.nationet.com
O1 - Hosts: 69.93.211.199 ww3.onlinebanking.natwestoffshore.com
O1 - Hosts: 69.93.211.199 ww1.nwolb.com
O1 - Hosts: 69.93.211.199 ww1.onlinebanking.iombank.com
O1 - Hosts: 69.93.211.199 ww1.www.rbsdigital.com
O1 - Hosts: 69.93.211.199 welcome.smile.co.uk
O1 - Hosts: 69.93.211.199 login.365online.com
O1 - Hosts: 69.93.211.199 wvw.citizensbankonline.com
O1 - Hosts: 69.93.211.199 esecure.regionsnet.com
O1 - Hosts: 69.93.211.199 rollb.associatedbank.com
O1 - Hosts: 69.93.211.199 upb.unionplanters.com
O1 - Hosts: 69.93.211.199 www.onlinebanking.huntington.com
O1 - Hosts: 69.93.211.199 inet.southtrustonlinebanking.com
O1 - Hosts: 69.93.211.199 logon.personal.wamu.com
O1 - Hosts: 69.93.211.199 login.compassweb.com
O1 - Hosts: 69.93.211.199 logon.firstmeritib.com
O1 - Hosts: 69.93.211.199 login.ccfcuonline.org
O1 - Hosts: 69.93.211.199 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 69.93.211.199 ww2.onlinebanking.lasallebank.com
O1 - Hosts: 69.93.211.199 wvw.totallyfreebanking.com
O1 - Hosts: 69.93.211.199 www.online.wellsfargo.com
O1 - Hosts: 69.93.211.199 www.onlinebanking.bankofoklahoma.com
O1 - Hosts: 69.93.211.199 accounts4.keybank.com
O1 - Hosts: 69.93.211.199 logon.bankone.com
O1 - Hosts: 69.93.211.199 www.secure.tdbanknorth.com
O1 - Hosts: 69.93.211.199 www.secure.mvnt4.com
O1 - Hosts: 69.93.211.199 ww.mynfbonline.com
O1 - Hosts: 69.93.211.199 login.forumcuonline.com
O1 - Hosts: 69.93.211.199 www.eds.usersonlnet.com
O1 - Hosts: 69.93.211.199 www.onlineid.bankofamerica.com
O1 - Hosts: 69.93.211.199 wvw.e-gold.com
O1 - Hosts: 69.93.211.199 pcbs.peoples.com
O1 - Hosts: 69.93.211.199 www.global1.onlinebank.com
O1 - Hosts: 69.93.211.199 ww2.mybranch.lafcu.com
O1 - Hosts: 69.93.211.199 login.webbanking.comerica.com
O1 - Hosts: 69.93.211.199 web.banking.firsttennessee.com
O1 - Hosts: 69.93.211.199 logon.members1st.org
O1 - Hosts: 69.93.211.199 www.cib.ibanking-services.com
O1 - Hosts: 69.93.211.199 www.miwebbusbank.ebanking-services.com
O1 - Hosts: 69.93.211.199 wvw.paypal.com
O1 - Hosts: 69.93.211.199 www.signin.ebay.com
O1 - Hosts: 69.93.211.199 wvw.etrade.com
O1 - Hosts: 69.93.211.199 ww4.fleethomelink.fleet.com
O1 - Hosts: 69.93.211.199 ww3.connect.skyfi.com
O1 - Hosts: 69.93.211.199 www6.usbank.com
O1 - Hosts: 69.93.211.199 www.bvi.bancodevalencia.es
O1 - Hosts: 69.93.211.199 extrant.banesto.es
O1 - Hosts: 69.93.211.199 banesnt.banesto.es
O1 - Hosts: 69.93.211.199 activia.caixagalicia.es
O1 - Hosts: 69.93.211.199 www.bancae.caixapenedes.com
O1 - Hosts: 69.93.211.199 login.caixasabadell.net
O1 - Hosts: 69.93.211.199 oii.cajamadrid.es
O1 - Hosts: 69.93.211.199 login.cajamar.es
O1 - Hosts: 69.93.211.199 login.ccm.es
O1 - Hosts: 69.93.211.199 ww.unicaja.es
O1 - Hosts: 69.93.211.199 www5.bancopopular.es
O1 - Hosts: 69.93.211.199 ww3.bbvanet.com
O1 - Hosts: 69.93.211.199 ww.bayernlb.de
O1 - Hosts: 69.93.211.199 ww2.berliner-volksbank.de
O1 - Hosts: 69.93.211.199 ww7.homebanking-berlin.de
O1 - Hosts: 69.93.211.199 portal09.commerzbanking.de
O1 - Hosts: 69.93.211.199 www.meine.deutsche-bank.de
O1 - Hosts: 69.93.211.199 ww2.dresdner-privat.de
O1 - Hosts: 69.93.211.199 ww.e-banking.helaba.de
O1 - Hosts: 69.93.211.199 ww.hsh-nordbank.de
O1 - Hosts: 69.93.211.199 www.my.hypovereinsbank.de
O1 - Hosts: 69.93.211.199 ww3.homebanking-berlin.de
O1 - Hosts: 69.93.211.199 ww3.homebanking-berlin.de
O1 - Hosts: 69.93.211.199 www.banking.lbbw.de
O1 - Hosts: 69.93.211.199 lrp.sparkasse-banking.de
O1 - Hosts: 69.93.211.199 ww3.homebanking-niedersachsen.de
O1 - Hosts: 69.93.211.199 www.onlinebanking.norisbank.de
O1 - Hosts: 69.93.211.199 www.banking.postbank.de
O1 - Hosts: 69.93.211.199 wvw.internetbanking.gad.de
O1 - Hosts: 69.93.211.199 ww1.portal.izb.de
O1 - Hosts: 69.93.211.199 wvw.kunden-service.lbs.de
O1 - Hosts: 69.93.211.199 ibanking.seb.de
O1 - Hosts: 69.93.211.199 bw7.sparkasse-banking.de
O1 - Hosts: 69.93.211.199 ww2.homebanking-sparkasse.de
O1 - Hosts: 69.93.211.199 ww2.vr-networld-ebanking.de
O1 - Hosts: 69.93.211.199 ww.bics.fr
O1 - Hosts: 69.93.211.199 www.co.caixabank.fr
O1 - Hosts: 69.93.211.199 ww.creditmutuel.fr
O1 - Hosts: 69.93.211.199 internetbank.intesabci.it
O1 - Hosts: 69.93.211.199 ww.extensive.bancalombarda.it
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: UpdateCache Class - {6E28339B-7A2A-47B6-AEB2-46BA53782378} - C:\WINDOWS\System32\dllcache\explorer.dll (file missing)
O2 - BHO: Msxml32DOMDocument Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDOWS\System32\dllcache\msxml32.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Mirar - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB58.dll
O2 - BHO: InternetSoftware - {AF7E9EBB-E1CF-7F7C-C608-13185698F3E9} - C:\Program Files\InternetSoftware\InternetSoftware-2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Mirar - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB58.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MDNS] C:\WINDOWS\System32\service.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Hope Draw Obj Funk] C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW\title love.exe
O4 - HKLM\..\RunServices: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe
O4 - HKCU\..\Run: [Aim Readme] C:\DOCUME~1\atlanka\APPLIC~1\Blahfunk\software rect.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MalwareAlarm] C:\Program Files\MalwareAlarm\MalwareAlarm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: https://morygroup.com/
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {8F92E29D-503A-4B78-8AF8-C6CFD0C53C8C} (Imprime.UserControl1) - http://chargeur.morygroup.com/Composants/impression/ImprimeNTXP.CAB
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Viewer Control) - http://chargeur.morygroup.com/viewer/activeXViewer/activeXviewer.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Firebird Server (InterBaseServer) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

Réponse 2 / 8

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

slt

tu es gavé!!!!!!!!

sauvegarde tes données car vu le nombre c'est pas gagné...

_____________

tu as mis malwarealarm qui est un espion alors ne l'utilise plus!!!
_____________

pourquoi ton windows n'est pas a jour????

______________

si tu n'as pas de parefeu installe en un de suite sinon tu sera vite infécté comme windows n'est pas a jour
:
Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

__________________

telecharge et lance rhost

http://siri.urz.free.fr/RHosts.php

_________________

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

___________________

scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

__________________

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

____________________
recolle un hiajkchits et dis tes soucis

keryan Messages postés 3 Statut Membre

Mon ordi refuse de démarrer sans échec, la ligne sur lignée est démarrage normale et je ne peu pas la déplacer.
j'ai mis un pare feu et téléchargé les logiciels des liens proposés.
le logiciel espion c'est mis tout seul
l'ordi m'a été donné et après renseignements windows ne doit pas être officiel.
je dois m'absenter, je reprendrais demain.

encore merci

Réponse 3 / 8

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

fais alors en mode normal

keryan

voila ce que j'ai pu obtenir
j'ai toujours malware alarm qui se déclenche
et les fenêtres popup

ComboFix 08-05-21.3 - atlanka 2008-05-23 15:32:48.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.311 [GMT 2:00]
Endroit: C:\Documents and Settings\atlanka\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-23 to 2008-05-23 ))))))))))))))))))))))))))))))))))))
.

2008-05-22 16:28 . 2008-05-22 16:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-05-22 16:27 . 2008-04-02 21:07 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-05-22 16:27 . 2008-04-02 21:08 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-05-22 16:27 . 2008-04-02 21:08 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-05-22 16:27 . 2008-04-02 21:08 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-05-22 16:27 . 2008-04-02 21:08 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-05-22 16:27 . 2004-04-27 05:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-05-22 16:27 . 2008-05-22 16:31 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-05-22 16:26 . 2008-05-22 16:26 <REP> d-------- C:\Program Files\Zone Labs
2008-05-22 16:25 . 2008-05-23 15:26 <REP> d-------- C:\WINDOWS\Internet Logs
2008-05-22 16:17 . 2008-05-22 16:17 <REP> d-------- C:\Program Files\Sunbelt Software
2008-05-22 16:10 . 2008-05-22 16:10 <REP> d-------- C:\Program Files\Tall Emu
2008-05-22 16:10 . 2008-05-22 16:10 <REP> d-------- C:\OnlineArmor
2008-05-22 16:10 . 2008-05-22 16:11 <REP> d-------- C:\Documents and Settings\atlanka\Application Data\OnlineArmor
2008-05-22 16:10 . 2008-05-22 16:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\OnlineArmor
2008-05-22 16:10 . 2007-11-08 06:37 68,608 --a------ C:\WINDOWS\system32\drivers\OADriver.sys
2008-05-22 16:10 . 2007-09-29 00:06 25,600 --a------ C:\WINDOWS\system32\drivers\OAmon.sys
2008-05-22 16:10 . 2007-09-29 00:06 18,944 --a------ C:\WINDOWS\system32\drivers\ndisrd.sys
2008-05-22 15:22 . 2008-05-22 15:22 <REP> d-------- C:\Program Files\Trend Micro
2008-05-22 11:12 . 2008-05-22 15:33 <REP> d-------- C:\Program Files\Navilog1
2008-04-30 18:53 . 2008-04-30 18:53 <REP> d-------- C:\Program Files\Fichiers communs\Vbox
2008-04-30 18:11 . 2008-04-30 18:11 <REP> d-------- C:\Program Files\Blahfunk

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 12:34 --------- d-----w C:\Program Files\InternetSoftware
2008-05-23 08:39 --------- d-----w C:\Program Files\MalwareAlarm
2008-05-20 14:31 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-05-14 09:40 --------- d-----w C:\Documents and Settings\atlanka\Application Data\AdobeUM
2008-04-30 16:53 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-04-30 16:12 --------- d-----w C:\Documents and Settings\atlanka\Application Data\Blahfunk
2008-04-30 16:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW
2008-04-26 13:46 --------- d-----w C:\Program Files\LimeWire
2008-04-26 13:29 --------- d-----w C:\Documents and Settings\atlanka\Application Data\LimeWire
2008-04-08 13:07 --------- d-----w C:\Program Files\KompoZer
2008-04-02 19:07 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-03-27 16:58 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems
2008-03-27 16:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\ACD Systems
2008-01-22 16:29 80 --sh--r C:\WINDOWS\system32\1D18EA973E.dll
.

((((((((((((((((((((((((((((( snapshot@2008-05-23_15.03.00.30 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-23 12:57:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-23 13:40:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-23 13:40:46 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_500.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6E28339B-7A2A-47B6-AEB2-46BA53782378}]
C:\WINDOWS\System32\dllcache\explorer.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6E28339B-7A2A-47B6-AEB2-46BA53782379}]
C:\WINDOWS\System32\dllcache\msxml32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 13:45 13312]
"CursorXP"="C:\themeGold55\CursorXP\CursorXP.exe" [2001-12-13 20:00 100864]
"VID INTERNET WEB DRIVERS FOR WIN32"="phqghu.exe" []
"Aim Readme"="C:\DOCUME~1\atlanka\APPLIC~1\Blahfunk\software rect.exe" [2008-04-30 18:10 479232]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"MalwareAlarm"="C:\Program Files\MalwareAlarm\MalwareAlarm.exe" [2008-05-20 16:24 440832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EoEngine"="" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-23 14:50 98304]
"Hope Draw Obj Funk"="C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW\title love.exe" [2008-05-23 15:44 3208192]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"VID INTERNET WEB DRIVERS FOR WIN32"="phqghu.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 13:45 13312]
"VID INTERNET WEB DRIVERS FOR WIN32"="phqghu.exe" []
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoLowDiskSpaceCheck"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoLowDiskSpaceCheck"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\LSA Server]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI]
@="Service"

R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2007-04-26 10:21]
R2 Ip6FwHlp;Pare-feu de connexion Internet IPv6;C:\WINDOWS\System32\svchost.exe [2001-08-28 16:00]
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 epstw2k;Pilote SCSI du port parallèle SCM;C:\WINDOWS\System32\DRIVERS\epstw2k.sys [2001-08-17 21:50]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
S3 InterBaseServer;Firebird Server;C:\Program Files\Firebird\bin\ibserver -s []

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-23 13:00:05 C:\WINDOWS\Tasks\A41ACB61903D4459.job"
- c:\docume~1\atlanka\applic~1\blahfunk\Hope Media Bore.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-23 15:42:26
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\InterBaseServer]
"ImagePath"="C:\Program Files\Firebird\bin\ibserver -s"
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\System32\tsd32.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\themeGold55\CursorXP\CurXP0.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-23 15:49:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-23 13:49:18
ComboFix2.txt 2008-05-23 13:04:19

Pre-Run: 2,110,930,944 octets libres
Post-Run: 2,090,713,088 octets libres

148

ComboFix 08-05-21.3 - atlanka 2008-05-23 15:32:48.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.311 [GMT 2:00]
Endroit: C:\Documents and Settings\atlanka\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-23 to 2008-05-23 ))))))))))))))))))))))))))))))))))))
.

2008-05-22 16:28 . 2008-05-22 16:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-05-22 16:27 . 2008-04-02 21:07 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-05-22 16:27 . 2008-04-02 21:08 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-05-22 16:27 . 2008-04-02 21:08 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-05-22 16:27 . 2008-04-02 21:08 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-05-22 16:27 . 2008-04-02 21:08 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-05-22 16:27 . 2004-04-27 05:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-05-22 16:27 . 2008-05-22 16:31 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-05-22 16:26 . 2008-05-22 16:26 <REP> d-------- C:\Program Files\Zone Labs
2008-05-22 16:25 . 2008-05-23 15:26 <REP> d-------- C:\WINDOWS\Internet Logs
2008-05-22 16:17 . 2008-05-22 16:17 <REP> d-------- C:\Program Files\Sunbelt Software
2008-05-22 16:10 . 2008-05-22 16:10 <REP> d-------- C:\Program Files\Tall Emu
2008-05-22 16:10 . 2008-05-22 16:10 <REP> d-------- C:\OnlineArmor
2008-05-22 16:10 . 2008-05-22 16:11 <REP> d-------- C:\Documents and Settings\atlanka\Application Data\OnlineArmor
2008-05-22 16:10 . 2008-05-22 16:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\OnlineArmor
2008-05-22 16:10 . 2007-11-08 06:37 68,608 --a------ C:\WINDOWS\system32\drivers\OADriver.sys
2008-05-22 16:10 . 2007-09-29 00:06 25,600 --a------ C:\WINDOWS\system32\drivers\OAmon.sys
2008-05-22 16:10 . 2007-09-29 00:06 18,944 --a------ C:\WINDOWS\system32\drivers\ndisrd.sys
2008-05-22 15:22 . 2008-05-22 15:22 <REP> d-------- C:\Program Files\Trend Micro
2008-05-22 11:12 . 2008-05-22 15:33 <REP> d-------- C:\Program Files\Navilog1
2008-04-30 18:53 . 2008-04-30 18:53 <REP> d-------- C:\Program Files\Fichiers communs\Vbox
2008-04-30 18:11 . 2008-04-30 18:11 <REP> d-------- C:\Program Files\Blahfunk

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 12:34 --------- d-----w C:\Program Files\InternetSoftware
2008-05-23 08:39 --------- d-----w C:\Program Files\MalwareAlarm
2008-05-20 14:31 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-05-14 09:40 --------- d-----w C:\Documents and Settings\atlanka\Application Data\AdobeUM
2008-04-30 16:53 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-04-30 16:12 --------- d-----w C:\Documents and Settings\atlanka\Application Data\Blahfunk
2008-04-30 16:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW
2008-04-26 13:46 --------- d-----w C:\Program Files\LimeWire
2008-04-26 13:29 --------- d-----w C:\Documents and Settings\atlanka\Application Data\LimeWire
2008-04-08 13:07 --------- d-----w C:\Program Files\KompoZer
2008-04-02 19:07 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-03-27 16:58 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems
2008-03-27 16:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\ACD Systems
2008-01-22 16:29 80 --sh--r C:\WINDOWS\system32\1D18EA973E.dll
.

((((((((((((((((((((((((((((( snapshot@2008-05-23_15.03.00.30 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-23 12:57:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-23 13:40:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-23 13:40:46 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_500.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6E28339B-7A2A-47B6-AEB2-46BA53782378}]
C:\WINDOWS\System32\dllcache\explorer.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6E28339B-7A2A-47B6-AEB2-46BA53782379}]
C:\WINDOWS\System32\dllcache\msxml32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 13:45 13312]
"CursorXP"="C:\themeGold55\CursorXP\CursorXP.exe" [2001-12-13 20:00 100864]
"VID INTERNET WEB DRIVERS FOR WIN32"="phqghu.exe" []
"Aim Readme"="C:\DOCUME~1\atlanka\APPLIC~1\Blahfunk\software rect.exe" [2008-04-30 18:10 479232]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"MalwareAlarm"="C:\Program Files\MalwareAlarm\MalwareAlarm.exe" [2008-05-20 16:24 440832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EoEngine"="" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-23 14:50 98304]
"Hope Draw Obj Funk"="C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW\title love.exe" [2008-05-23 15:44 3208192]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"VID INTERNET WEB DRIVERS FOR WIN32"="phqghu.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 13:45 13312]
"VID INTERNET WEB DRIVERS FOR WIN32"="phqghu.exe" []
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoLowDiskSpaceCheck"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoLowDiskSpaceCheck"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\LSA Server]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI]
@="Service"

R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2007-04-26 10:21]
R2 Ip6FwHlp;Pare-feu de connexion Internet IPv6;C:\WINDOWS\System32\svchost.exe [2001-08-28 16:00]
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 epstw2k;Pilote SCSI du port parallèle SCM;C:\WINDOWS\System32\DRIVERS\epstw2k.sys [2001-08-17 21:50]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
S3 InterBaseServer;Firebird Server;C:\Program Files\Firebird\bin\ibserver -s []

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-23 13:00:05 C:\WINDOWS\Tasks\A41ACB61903D4459.job"
- c:\docume~1\atlanka\applic~1\blahfunk\Hope Media Bore.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-23 15:42:26
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\InterBaseServer]
"ImagePath"="C:\Program Files\Firebird\bin\ibserver -s"
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\System32\tsd32.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\themeGold55\CursorXP\CurXP0.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-23 15:49:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-23 13:49:18
ComboFix2.txt 2008-05-23 13:04:19

Pre-Run: 2,110,930,944 octets libres
Post-Run: 2,090,713,088 octets libres

148

merci

Réponse 4 / 8

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

ok recolle un rapport hijackthis

keryan

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:02, on 23/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iesearch.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: UpdateCache Class - {6E28339B-7A2A-47B6-AEB2-46BA53782378} - C:\WINDOWS\System32\dllcache\explorer.dll (file missing)
O2 - BHO: Msxml32DOMDocument Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDOWS\System32\dllcache\msxml32.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Hope Draw Obj Funk] C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW\title love.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe
O4 - HKCU\..\Run: [Aim Readme] C:\DOCUME~1\atlanka\APPLIC~1\Blahfunk\software rect.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: https://morygroup.com/
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {8F92E29D-503A-4B78-8AF8-C6CFD0C53C8C} (Imprime.UserControl1) - http://chargeur.morygroup.com/Composants/impression/ImprimeNTXP.CAB
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Viewer Control) - http://chargeur.morygroup.com/viewer/activeXViewer/activeXviewer.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Firebird Server (InterBaseServer) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 8

keryan

j'ai fais ça aussi

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 781

Type de recherche: Examen complet (C:\|)
Eléments examinés: 57617
Temps écoulé: 18 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\internetsoftware.pornpro_bho.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Mirar (AdWare.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MalwareAlarm (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\MalwareAlarm (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MalwareAlarm (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\MalwareAlarm (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\QooBox\Quarantine\C\WINDOWS\system32\service.exe.vir (Adware.Mirar) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{76595F4D-052D-47EE-BE1A-0CD6A220E950}\RP2\A0000012.exe (Adware.Mirar) -> Quarantined and deleted successfully.
C:\Program Files\MalwareAlarm\MalwareAlarm.exe (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.
C:\Program Files\MalwareAlarm\MalwareAlarm.lic (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.
C:\Program Files\MalwareAlarm\MalwareAlarm0.ma (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.
C:\Program Files\MalwareAlarm\MalwareAlarm1.ma (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.
C:\Program Files\MalwareAlarm\mfc71.dll (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.
C:\Program Files\MalwareAlarm\msvcp71.dll (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.
C:\Program Files\MalwareAlarm\msvcr71.dll (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.

Réponse 6 / 8

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

si tu viens de le faire recolle un nouvel hijackthis

keryan

Non,je l'avais déjà fais.

Réponse 7 / 8

keryan

Merci pour ce dépannage jlpjlp.
Tout est ok, avec quelques plumes en moins.

Réponse 8 / 8

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

ok ne mettre qu'un seul parefeu sunbelt ou zone alarm!!!!
alors vire un des deux!!!

______________
tu avais fais SDFIX???? si tu n'as pas fais fais le!
______________

relance hijakchits, fais do a system scan only et fix ces lignes (fix cheked)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iesearch.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: UpdateCache Class - {6E28339B-7A2A-47B6-AEB2-46BA53782378} - C:\WINDOWS\System32\dllcache\explorer.dll (file missing)
O2 - BHO: Msxml32DOMDocument Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDOWS\System32\dllcache\msxml32.dll (file missing)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Hope Draw Obj Funk] C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW\title love.exe
O4 - HKLM\..\RunServices: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe
O4 - HKCU\..\Run: [Aim Readme] C:\DOCUME~1\atlanka\APPLIC~1\Blahfunk\software rect.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O15 - Trusted Zone: https://morygroup.com/
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {8F92E29D-503A-4B78-8AF8-C6CFD0C53C8C} (Imprime.UserControl1) - http://chargeur.morygroup.com/Composants/impression/ImprimeNTXP.CAB
O16 - DPF: {C4847596-972C-11D0-9567-00A0C9273C2A} (Crystal Report Viewer Control) - http://chargeur.morygroup.com/viewer/activeXViewer/activeXviewer.cab

______________________

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\System32\dllcache\explorer.dll
C:\WINDOWS\System32\dllcache\msxml32.dll
C:\DOCUME~1\atlanka\APPLIC~1\Blahfunk\software rect.exe
C:\Program Files\MalwareAlarm\MalwareAlarm.exe
C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW\title love.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6E28339B-7A2A-47B6-AEB2-46BA53782378}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6E28339B-7A2A-47B6-AEB2-46BA53782379}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VID INTERNET WEB DRIVERS FOR WIN32"=-
"Aim Readme"=-
"MalwareAlarm"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EoEngine"=-
"Hope Draw Obj Funk"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"VID INTERNET WEB DRIVERS FOR WIN32"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"VID INTERNET WEB DRIVERS FOR WIN32"=-

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

______________________

Télécharge ceci: (by Moe) :

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

Double clic sur Lopxpsetup.exe pour lancer l'installation
Au menu, choisir l'option 1
Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer !
Une rapport sera alors crée, à copie/colle en entier sur le forum.

Discussions similaires

Caler une adresse au niveau de la fenêtre d'une enveloppe

Conhost.exe

iCloud affichage fenêtres intempestives. Réglages impossible.

Fenêtre popup

8 réponses

Votre réponse

Discussions similaires

Newsletters